PT-2024-17165 · Engenius · Engenius Enh1350Ext+2
Liutong
·
Publicado
2024-11-25
·
Atualizado
2024-12-10
·
CVE-2024-11656
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
EnGenius ENH1350EXT, ENS500-AC e ENS620EXT até 20241118
Descrição
Foi encontrada uma falha crítica no processamento do arquivo
/admin/network/diag ping6. A manipulação do argumento diag ping6 leva à injeção de comando. Essa falha pode ser explorada remotamente. A exploração foi divulgada ao público. O fornecedor foi contatado sobre essa divulgação, mas não respondeu.Recomendações
Para os modelos EnGenius ENH1350EXT, ENS500-AC e ENS620EXT até 20241118, como solução temporária, considere restringir o acesso ao arquivo
/admin/network/diag ping6 para minimizar o risco de exploração. Evite usar o argumento diag ping6 no arquivo afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Special Elements Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Engenius Enh1350Ext
Engenius Ens500-Ac
Engenius Ens620Ext