PT-2024-32983 · Sunniwell · Sunniwell Ht3300
Giles-One
·
Publicado
2024-11-08
·
Atualizado
2024-11-18
·
CVE-2024-48073
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do sunniwell HT3300 anteriores à 1.0.0.B022.2
Descrição
O problema diz respeito a permissões inseguras no dispositivo sunniwell HT3300, especificamente no programa /usr/local/bin/update, que é usado para atualizações de software e possui o modo de execução sudo NOPASSWD. Este programa está sujeito a uma vulnerabilidade de injeção de comando, permitindo que um invasor passe comandos por meio de argumentos de linha de comando para obter privilégios elevados de root.
Recomendações
Para versões do sunniwell HT3300 anteriores à 1.0.0.B022.2, atualize para a versão 1.0.0.B022.2 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao programa /usr/local/bin/update para minimizar o risco de exploração.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sunniwell Ht3300