CVE-2024-8166

Nome do software vulnerável e versões afetadas:

Ruijie EG2000K versão 11.1(6)B2

Descrição:

Foi identificada uma falha crítica que afeta código desconhecido do arquivo /tool/index.php?c=download&a=save. A manipulação do argumento content permite o envio de arquivos sem restrições. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. O fornecedor foi contatado antecipadamente sobre essa divulgação, mas não respondeu de forma alguma.

Recomendações:

Para o Ruijie EG2000K versão 11.1(6)B2, como solução temporária, considere desativar o endpoint /tool/index.php?c=download&a=save até que uma correção esteja disponível. Restrinja o acesso a este endpoint para minimizar o risco de exploração. Evite usar o argumento content no endpoint afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.