CVE-2024-39782

Nome do Software Vulnerável e Versões Afetadas: Wavlink AC3000 versão M33A8.V5030.210505

Descrição: Existem múltiplas vulnerabilidades de injeção de comando do sistema operacional na funcionalidade sch reboot() do adm.cgi. Uma requisição HTTP especialmente elaborada pode levar à execução arbitrária de código. Um atacante pode enviar uma requisição HTTP autenticada para explorar essas vulnerabilidades. Existe uma vulnerabilidade de injeção de comando no parâmetro POST restart min.

Recomendações: Para a versão M33A8.V5030.210505, considere desabilitar a função sch reboot() até que um patch esteja disponível. Restrinja o acesso ao módulo adm.cgi para minimizar o risco de exploração. Evite utilizar o parâmetro restart min no endpoint HTTP afetado até que a questão seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.