CVE-2024-39785

Nome do Software Vulnerável e Versões Afetadas: Wavlink AC3000 M33A8.V5030.210505

Descrição: Existem múltiplas vulnerabilidades de execução de comandos na funcionalidade add dir() do nas.cgi. Uma solicitação HTTP especialmente elaborada pode levar à execução arbitrária de comandos. Um invasor pode enviar uma solicitação HTTP autenticada para acionar essas vulnerabilidades. Existe uma vulnerabilidade de injeção de comandos no parâmetro POST adddir name.

Recomendações: Para o Wavlink AC3000 M33A8.V5030.210505, como solução temporária, considere desativar a função add dir() até que um patch esteja disponível. Restrinja o acesso ao módulo nas.cgi para minimizar o risco de exploração. Evite utilizar o parâmetro adddir name no endpoint HTTP afetado até que a questão seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.