CVE-2024-39800

Nome do Software Vulnerável e Versões Afetadas Wavlink AC3000 versão M33A8.V5030.210505

Descrição Existem múltiplas vulnerabilidades de controle de configuração externa na funcionalidade openvpn server setup() do openvpn.cgi. Uma requisição HTTP especialmente elaborada pode levar à execução arbitrária de comandos. Um atacante pode enviar uma requisição HTTP autenticada para explorar essas vulnerabilidades. Existe uma vulnerabilidade de injeção de configuração no parâmetro POST open port.

Recomendações Para a versão M33A8.V5030.210505, como medida paliativa temporária, considere desabilitar a função openvpn server setup() até que um patch esteja disponível. Restrinja o acesso ao parâmetro open port no endpoint de API afetado para minimizar o risco de exploração. Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.