PT-2024-8267 · NetGear · Netgear Xr300+2
Publicado
2024-11-05
·
Atualizado
2024-11-05
·
CVE-2024-51021
CVSS v3.1
8.0
Alta
| Vetor | AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Netgear XR300 versão 1.0.3.78
Netgear R7000P versão 1.3.3.154
Netgear R6400 v2 versão 1.0.4.128
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de comando por meio do parâmetro
wan gateway no endpoint genie fix2.cgi. Isso permite que invasores executem comandos arbitrários do sistema operacional por meio de uma solicitação maliciosa. A vulnerabilidade está associada à falha em neutralizar elementos especiais usados no comando do sistema operacional ao processar o parâmetro wan gateway. A exploração da vulnerabilidade pode permitir que um invasor remoto execute comandos arbitrários.Recomendações
Para o Netgear XR300 versão 1.0.3.78, considere desativar o acesso ao endpoint
genie fix2.cgi até que um patch esteja disponível.Para o Netgear R7000P versão 1.3.3.154, restrinja o uso do parâmetro
wan gateway no endpoint genie fix2.cgi para minimizar o risco de exploração.Para o Netgear R6400 v2 versão 1.0.4.128, evite usar o parâmetro
wan gateway no endpoint afetado até que o problema seja resolvido.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Netgear R6400V2
Netgear R7000P
Netgear Xr300