PT-2024-17162 · Engenius · Engenius Enh1350Ext+2
Liutong
·
Publicado
2024-11-25
·
Atualizado
2024-12-10
·
CVE-2024-11653
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
EnGenius ENH1350EXT, versões até 20241118
EnGenius ENS500-AC, versões até 20241118
EnGenius ENS620EXT, versões até 20241118
Descrição
Um problema crítico afeta alguma funcionalidade desconhecida do arquivo /admin/network/diag traceroute. A manipulação do argumento
diag traceroute leva à injeção de comando. Esse problema pode ser explorado remotamente. A exploração foi divulgada publicamente, e o fornecedor foi contatado, mas não respondeu.Recomendações
Para as versões do EnGenius ENH1350EXT até 20241118, considere desativar o acesso ao arquivo /admin/network/diag traceroute até que uma correção esteja disponível.
Para as versões do EnGenius ENS500-AC até 20241118, restrinja o uso do argumento
diag traceroute no arquivo /admin/network/diag traceroute para minimizar o risco de exploração.Para as versões do EnGenius ENS620EXT até 20241118, evite usar o argumento
diag traceroute no arquivo afetado até que o problema seja resolvido.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Special Elements Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Engenius Enh1350Ext
Engenius Ens500-Ac
Engenius Ens620Ext