CVE-2024-39798

Nome do Software Vulnerável e Versões Afetadas Wavlink AC3000 versão M33A8.V5030.210505

Descrição Existem múltiplas vulnerabilidades de controle externo de configuração na função openvpn server setup() do openvpn.cgi. Uma solicitação HTTP especialmente elaborada pode resultar na execução arbitrária de comandos. Um atacante pode enviar uma solicitação HTTP autenticada para acionar essas vulnerabilidades. Existe uma vulnerabilidade de injeção de configuração no parâmetro POST sel open protocol.

Recomendações Para a versão M33A8.V5030.210505, como solução alternativa temporária, considere desativar a função openvpn server setup() até que uma correção esteja disponível. Restrinja o acesso ao módulo openvpn.cgi para minimizar o risco de exploração. Evite utilizar o parâmetro sel open protocol no endpoint HTTP afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.