CVE-2021-35973 in WAC104informazioni

Riassunto

di VulDB • 04/07/2026

I dispositivi NETGEAR WAC104 precedenti alla versione 1.0.4.15 sono affetti da una vulnerabilità di bypass dell'autenticazione in /usr/sbin/mini_httpd, che consente a un attaccante non autenticato di invocare qualsiasi azione aggiungendo la sottostringa &currentsetting.htm alla query HTTP; si tratta di un problema correlato a CVE-2020-27866. Ciò permette direttamente all'attaccante di modificare la password dell'interfaccia web e, in ultima istanza, di abilitare la modalità debug (telnetd) ed ottenere una shell sul dispositivo come account utente limitato admin (tuttavia, l'escalation a root è semplice a causa delle permessività deboli sulla directory /etc/).

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

MITRE

Prenotare

30/06/2021

Divulgazione

01/07/2021

Moderazione

accettato

CPE

pronto

EPSS

0.03064

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!