CVE-2024-27356

Nome do software vulnerável e versões afetadas:

GL-iNet MT6000 versão 4.5.5

GL-iNet XE3000 versão 4.4.4

GL-iNet X3000 versão 4.4.5

GL-iNet MT3000 versão 4.5.0

GL-iNet MT2500 versão 4.5.0

GL-iNet AXT1800 versão 4.5.0

GL-iNet AX1800 versão 4.5.0

GL-iNet A1300 versão 4.5.0

GL-iNet S200 versão 4.1.4-0300

GL-iNet X750 versão 4.3.7

GL-iNet SFT1200 versão 4.3.7

GL-iNet XE300 versão 4.3.7

GL-iNet MT1300 versão 4.3.10

GL-iNet AR750 versão 4.3.10

GL-iNet AR750S versão 4.3.10

GL-iNet AR300M versão 4.3.10

GL-iNet AR300M16 versão 4.3.10

GL-iNet B1300 versão 4.3.10

GL-iNet MT300N-v2 versão 4.3.10

GL-iNet X300B versão 3.217

GL-iNet S1300 versão 3.216

GL-iNet SF1200 versão 3.216

GL-iNet MV1000 versão 3.216

GL-iNet N300 versão 3.216

GL-iNet B2200 versão 3.216

GL-iNet X1200 versão 3.203

Descrição:

Foi detectada uma vulnerabilidade em determinados dispositivos GL-iNet, na qual invasores podem baixar arquivos, como logs, por meio de comandos, obtendo potencialmente informações críticas do usuário. A vulnerabilidade está relacionada ao uso de um caminho inseguro no processo de exportação de logs, o que pode permitir que um invasor remoto obtenha acesso não autorizado a informações protegidas e baixe arquivos arbitrários.

Recomendações:

Para o GL-iNet MT6000 versão 4.5.5, atualize para uma versão mais recente que contenha uma correção para este problema.

Para o GL-iNet XE3000 versão 4.4.4, atualize para uma versão mais recente que contenha uma correção para este problema.

Para o GL-iNet X3000 versão 4.4.5, atualize para uma versão mais recente que contenha uma correção para este problema.