CVE-2017-6334
CVE-2017-6334
Em resumo
Uma interface web em roteadores NETGEAR DGN2200 permite que usuários autenticados executem comandos arbitrários no dispositivo injetando comandos através de um formulário de consulta DNS. Um atacante com acesso ao roteador pode assumir controle total do aparelho.
Detalhe técnico
Injeção de Comando OS (CWE-78) no parâmetro 'host_name' do POST em dnslookup.cgi permite execução remota de código autenticada através de metacaracteres shell não validados. Requer autenticação prévia na interface web do roteador; exploração bem-sucedida concede execução de comando arbitrário com privilégios do roteador.
Resumo gerado e traduzido por IA a partir da descrição oficial.
dnslookup.cgi on NETGEAR DGN2200 devices with firmware through 10.0.0.50 allows remote authenticated users to execute arbitrary OS commands via shell metacharacters in the host_name field of an HTTP POST request, a different vulnerability than CVE-2017-6077.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 6
cve_referencewww.exploit-db.com/exploits/41459/não verificadocve_referencewww.exploit-db.com/exploits/41472/não verificadocve_referencewww.exploit-db.com/exploits/42257/não verificadoexploitdbwww.exploit-db.com/exploits/42257não verificadoexploitdbwww.exploit-db.com/exploits/41459não verificadoexploitdbwww.exploit-db.com/exploits/41472não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →