PT-2024-17164 · Engenius · Engenius Enh1350Ext+2
Liutong
·
Publicado
2024-11-25
·
Atualizado
2024-12-10
·
CVE-2024-11655
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
EnGenius ENH1350EXT, versões até 20241118
EnGenius ENS500-AC, versões até 20241118
EnGenius ENS620EXT, versões até 20241118
Descrição
Foi encontrada uma vulnerabilidade crítica nos dispositivos EnGenius especificados, afetando o arquivo
/admin/network/diag pinginterface. A manipulação do argumento diag ping leva à injeção de comando. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma.Recomendações
Para as versões do EnGenius ENH1350EXT até 20241118, considere desativar o acesso ao arquivo
/admin/network/diag pinginterface até que uma correção esteja disponível.Para as versões do EnGenius ENS500-AC até 20241118, restrinja o uso do argumento
diag ping no arquivo afetado para minimizar o risco de exploração.Para as versões do EnGenius ENS620EXT até 20241118, evite usar o argumento
diag ping no arquivo /admin/network/diag pinginterface até que o problema seja resolvido.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Special Elements Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Engenius Enh1350Ext
Engenius Ens500-Ac
Engenius Ens620Ext