PT-2024-35983 · Victure · Victure Rx1800 Wifi 6 Router
Edward Warren
·
Publicado
2024-12-02
·
Atualizado
2026-01-06
·
CVE-2024-53940
CVSS v3.1
8.8
Alta
| Vetor | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
Roteador Victure RX1800 WiFi 6, versão EN V1.0.0 r12 110933
Descrição:
Foi descoberta uma vulnerabilidade nos dispositivos do roteador Victure RX1800 WiFi 6, na qual determinados endpoints “/cgi-bin/luci/admin” estão vulneráveis à injeção de comandos. Os invasores podem explorar essa vulnerabilidade enviando cargas maliciosas por meio de parâmetros destinados ao utilitário ping, permitindo a execução de comandos arbitrários com permissões de nível root no dispositivo.
Recomendações:
Para a versão EN V1.0.0 r12 110933, como solução temporária, considere restringir o acesso aos endpoints “/cgi-bin/luci/admin” para minimizar o risco de exploração. Evite usar parâmetros destinados ao utilitário ping nos endpoints da API afetados até que a falha seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Victure Rx1800 Wifi 6 Router