CVE-2024-39795

Nome do Software Vulnerável e Versões Afetadas Wavlink AC3000 versão M33A8.V5030.210505

Descrição Existem múltiplas vulnerabilidades de controle de configuração externa na funcionalidade proftpd do set nas() do nas.cgi. Uma solicitação HTTP especialmente elaborada pode levar ao bypass de permissão. Um atacante pode enviar uma solicitação HTTP autenticada para acionar essas vulnerabilidades. Existe uma vulnerabilidade de injeção de configuração no parâmetro POST ftp max sessions.

Recomendações Para o Wavlink AC3000 versão M33A8.V5030.210505, considere desativar a função set nas() na funcionalidade proftpd do nas.cgi até que um patch esteja disponível. Restrinja o acesso ao parâmetro POST ftp max sessions para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.