CVE-2024-39781

Nome do Software Vulnerável e Versões Afetadas: Wavlink AC3000 versão M33A8.V5030.210505

Descrição: Existem múltiplas vulnerabilidades de injeção de comando no sistema operacional na funcionalidade sch reboot() do adm.cgi, permitindo a execução arbitrária de código através de uma requisição HTTP especialmente elaborada. Um atacante pode acionar essas vulnerabilidades realizando uma requisição HTTP autenticada. Existe uma vulnerabilidade de injeção de comando no parâmetro POST restart hour.

Recomendações: Para a versão M33A8.V5030.210505, considere desativar a função sch reboot() até que um patch esteja disponível para prevenir a exploração. Restrinja o acesso ao módulo adm.cgi para minimizar o risco de exploração. Evite utilizar o parâmetro restart hour no endpoint HTTP afetado até que o problema seja resolvido.