CVE-2024-39799

Nome do Software Vulnerável e Versões Afetadas Wavlink AC3000 versão M33A8.V5030.210505

Descrição Existem múltiplas vulnerabilidades de controle de configuração externa na funcionalidade openvpn server setup() do openvpn.cgi. Uma requisição HTTP especialmente elaborada pode levar à execução arbitrária de comandos. Um atacante pode fazer uma requisição HTTP autenticada para acionar essas vulnerabilidades. Existe uma vulnerabilidade de injeção de configuração no parâmetro POST sel open interface.

Recomendações Para a versão M33A8.V5030.210505, como solução temporária, considere desativar a função openvpn server setup() até que um patch esteja disponível. Restrinja o acesso ao parâmetro POST sel open interface para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.