CVE-2018-10562
CVE-2018-10562
Em resumo
Uma falha de segurança em roteadores Dasan GPON permite que atacantes executem comandos arbitrários enviando requisições de ping malformadas para a interface web do roteador. Um atacante pode explorar isso para controlar totalmente o roteador e acessar informações sensíveis.
Detalhe técnico
Vulnerabilidade de injeção de comando no parâmetro dest_host de requisições diag_action=ping para o endpoint GponForm/diag_Form. A falta de validação adequada de entrada permite execução remota de código não autenticada com privilégios do roteador; comandos controlados pelo atacante são executados no servidor, com saída persistida em /tmp e recuperável via requisições subsequentes a /diag.html.
Resumo gerado e traduzido por IA a partir da descrição oficial.
An issue was discovered on Dasan GPON home routers. Command Injection can occur via the dest_host parameter in a diag_action=ping request to a GponForm/diag_Form URI. Because the router saves ping results in /tmp and transmits them to the user when the user revisits /diag.html, it's quite simple to execute commands and retrieve their output.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 8
githubgithub.com/649/Pingpon-Exploit★ 24githubgithub.com/c0ld1/GPON_RCE★ 4githubgithub.com/ATpiu/CVE-2018-10562★ 3githubgithub.com/Choudai/GPON-LOADER★ 2githubgithub.com/tpdlshdmlrkfmcla/backdoor.mirai.helloworld★ 0githubgithub.com/ExiaHan/GPON★ 0exploitdbwww.exploit-db.com/exploits/44576não verificadocve_referencewww.exploit-db.com/exploits/44576/não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →