CVE-2024-39788

Nome do Software Vulnerável e Versões Afetadas: Wavlink AC3000 M33A8.V5030.210505

Descrição: Existem múltiplas vulnerabilidades de controle de configuração externa na funcionalidade nas.cgi set ftp cfg(). Uma requisição HTTP especialmente construída pode levar a um bypass de permissão. Um atacante pode enviar uma requisição HTTP autenticada para acionar essas vulnerabilidades. Existe uma vulnerabilidade de injeção de configuração no parâmetro POST ftp name.

Recomendações: Para o Wavlink AC3000 M33A8.V5030.210505, como solução temporária, considere desativar a função set ftp cfg() até que um patch esteja disponível. Restrinja o acesso ao módulo nas.cgi para minimizar o risco de exploração. Evite utilizar o parâmetro ftp name no endpoint HTTP afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.