CVE-2017-6884
CVE-2017-6884
Em resumo
Um roteador Zyxel permite que atacantes executem comandos arbitrários na ferramenta de diagnóstico nslookup ao injetar entradas maliciosas no parâmetro ping_ip. Isso dá controle total do roteador ao atacante.
Detalhe técnico
Vulnerabilidade de injeção de comando no firmware V1.00(AAQT.4)b8 do Zyxel EMG2926, na função nslookup das ferramentas de diagnóstico, permite execução remota de código arbitrário via parâmetro ping_ip não sanitizado na URI expert/maintenance/diagnostic/nslookup. O vetor de ataque requer acesso à interface web do roteador; exploração bem-sucedida concede execução de comandos com privilégios do roteador.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A command injection vulnerability was discovered on the Zyxel EMG2926 home router with firmware V1.00(AAQT.4)b8. The vulnerability is located in the diagnostic tools, specifically the nslookup function. A malicious user may exploit numerous vectors to execute arbitrary commands on the router, such as the ping_ip parameter to the expert/maintenance/diagnostic/nslookup URI.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 2
cve_referencewww.exploit-db.com/exploits/41782/não verificadoexploitdbwww.exploit-db.com/exploits/41782não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →