PT-2024-17166 · Engenius · Engenius Enh1350Ext+2
Liutong
·
Publicado
2024-11-25
·
Atualizado
2024-12-10
·
CVE-2024-11657
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
EnGenius ENH1350EXT, versões até 20241118
EnGenius ENS500-AC, versões até 20241118
EnGenius ENS620EXT, versões até 20241118
Descrição
Foi encontrada uma vulnerabilidade crítica nos dispositivos afetados, permitindo a injeção de comandos por meio da manipulação do argumento
diag nslookup no arquivo /admin/network/diag nslookup. Isso pode ser explorado remotamente. A vulnerabilidade foi divulgada publicamente, e o fornecedor foi notificado, mas não respondeu.Recomendações
Para as versões do EnGenius ENH1350EXT até 20241118, considere desativar o acesso ao arquivo
/admin/network/diag nslookup até que uma correção esteja disponível.Para as versões do EnGenius ENS500-AC até 20241118, restrinja o uso do argumento
diag nslookup no arquivo afetado para minimizar o risco de exploração.Para as versões do EnGenius ENS620EXT até 20241118, evite usar o arquivo
/admin/network/diag nslookup até que o problema seja resolvido.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Special Elements Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Engenius Enh1350Ext
Engenius Ens500-Ac
Engenius Ens620Ext