CVE-2024-39786

Nome do Software Vulnerável e Versões Afetadas: Wavlink AC3000 versão M33A8.V5030.210505

Descrição: Existem múltiplas vulnerabilidades de traversia de diretório na funcionalidade add dir() do nas.cgi. Uma requisição HTTP especialmente elaborada pode resultar em bypass de permissão. Um atacante pode enviar uma requisição HTTP autenticada para explorar essas vulnerabilidades. Existe uma vulnerabilidade de traversia de diretório no parâmetro POST adddir name.

Recomendações: Para a versão M33A8.V5030.210505, considere desabilitar a função add dir() até que um patch esteja disponível. Restrinja o acesso ao módulo nas.cgi para minimizar o risco de exploração. Evite usar o parâmetro adddir name no endpoint HTTP afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.