CVE-2022-36158
CVE-2022-36158
Em resumo
O dispositivo wireless Contec FXA3200 tem uma página oculta que não verifica adequadamente quem a está acessando, permitindo que atacantes executem comandos do sistema com privilégio máximo (root). Isso é perigoso porque qualquer pessoa que encontre essa página pode controlar completamente o dispositivo.
Detalhe técnico
Um atacante não autenticado pode acessar o endpoint /usr/www/ja/mnt_cmd.cgi no Contec FXA3200 v1.13.00 e anteriores, que carece de controles de autorização adequados. A vulnerabilidade permite execução arbitrária de comandos Linux com privilégios root, resultando em comprometimento total do dispositivo e possível movimento lateral em redes conectadas.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Contec FXA3200 version 1.13.00 and under suffers from Insecure Permissions in the Wireless LAN Manager interface which allows malicious actors to execute Linux commands with root privilege via a hidden web page (/usr/www/ja/mnt_cmd.cgi).
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://gist.github.com/Nwqda/aac33d1936d2b514a3268f145345abb4https://jvn.jp/en/vu/JVNVU98305100/https://samy.link/blog/contec-flexlan-fxa2000-and-fxa3000-series-vulnerability-repohttps://www.contec.com/products-services/computer-networking/flexlan-fx/fx-accesspoint/fxa3200/feature/#section