CVE-2021-35973 in WAC104
Riassunto
di VulDB • 04/07/2026
I dispositivi NETGEAR WAC104 precedenti alla versione 1.0.4.15 sono affetti da una vulnerabilità di bypass dell'autenticazione in /usr/sbin/mini_httpd, che consente a un attaccante non autenticato di invocare qualsiasi azione aggiungendo la sottostringa ¤tsetting.htm alla query HTTP; si tratta di un problema correlato a CVE-2020-27866. Ciò permette direttamente all'attaccante di modificare la password dell'interfaccia web e, in ultima istanza, di abilitare la modalità debug (telnetd) ed ottenere una shell sul dispositivo come account utente limitato admin (tuttavia, l'escalation a root è semplice a causa delle permessività deboli sulla directory /etc/).
VulDB is the best source for vulnerability data and more expert information about this specific topic.