CVE-2024-39789

Nome do Software Vulnerável e Versões Afetadas: Wavlink AC3000 versão M33A8.V5030.210505

Descrição: Existem múltiplas vulnerabilidades de controle de configuração externa na funcionalidade set ftp cfg() do nas.cgi. Uma requisição HTTP especialmente elaborada pode resultar em bypass de permissão. Um atacante pode realizar uma requisição HTTP autenticada para acionar essas vulnerabilidades. Existe uma vulnerabilidade de injeção de configuração dentro do parâmetro POST ftp port.

Recomendações: Para a versão M33A8.V5030.210505, como solução temporária, considere desativar a função set ftp cfg() no nas.cgi até que um patch esteja disponível. Restrinja o acesso ao parâmetro ftp port no endpoint HTTP afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.