CVE-2024-45416

Nome do software vulnerável e versões afetadas:

Roteadores ZTE (versões afetadas não especificadas)

Descrição:

O binário HTTPD em vários roteadores ZTE apresenta uma vulnerabilidade de inclusão de arquivo local na função session init. Essa função executa arquivos de sessão LUA armazenados no diretório /var/lua session utilizando a função dofile sem validação. Um invasor capaz de gravar um arquivo malicioso no diretório de sessões pode conseguir a execução remota de código como root.

Recomendações:

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.