PT-2024-17848 · Overtek · Overtek Ot-E801G
C4Ng4C3Ir0
·
Publicado
2024-12-27
·
Atualizado
2024-12-27
·
CVE-2024-12985
CVSS v2.0
6.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:P |
Nome do software vulnerável e versões afetadas
Overtek OT-E801G, versão OTE801G65.1.1.0
Descrição
Foi encontrada uma vulnerabilidade crítica no Overtek OT-E801G, afetando o arquivo
/diag ping.cmd. Essa vulnerabilidade leva à injeção de comandos do sistema operacional quando o parâmetro action é definido como test e o parâmetro ipaddr é manipulado com entradas maliciosas, como 8.8.8.8%26%26cat%20/etc/passwd. O ataque pode ser iniciado remotamente.Recomendações
Para a versão OTE801G65.1.1.0, como solução temporária, considere restringir o acesso ao arquivo
/diag ping.cmd até que um patch esteja disponível. Evite usar o parâmetro ipaddr no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.Exploit
Correção
OS Command Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Overtek Ot-E801G