CVE-2020-10987
CVE-2020-10987
Vexday Risk Score
100Corrigir agora
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
CVSS 9.8EPSS 79.7%KEV simPoC públicaNuclei simMetasploit —Patch —
Ciclo de vida
13 jul 2020Publicada no NVD
03 nov 2021Exploração ativa (CISA KEV)
23 out 2025PoC pública
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo
Uma falha no roteador Tenda AC15 permite que atacantes executem comandos prejudiciais no dispositivo enviando requisições especialmente criadas. Isso é crítico porque um invasor pode tomar controle total do seu roteador sem precisar de acesso especial.
Detalhe técnico
O endpoint setUsbUnload no Tenda AC15 v15.03.05.19 é vulnerável a injeção de comandos do SO através do parâmetro POST deviceName, permitindo execução remota de código não autenticada. A vulnerabilidade ocorre devido à falta de validação adequada da entrada, possibilitando que atacantes injetem metacaracteres de shell e executem comandos arbitrários com privilégios do roteador.
Resumo gerado e traduzido por IA a partir da descrição oficial.
The goform/setUsbUnload endpoint of Tenda AC15 AC1900 version 15.03.05.19 allows remote attackers to execute arbitrary system commands via the deviceName POST parameter.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 1
githubgithub.com/Jaden-Bowers/Tenda-Router-VR-and-Exploit★ 0⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →