CRITICAL🇬🇧 English

CVE-2021-35402

OS command injection w PROLiNK PRC2402M — krytyczna podatność RCE

CVSS 10.0v3.1pub. 2026-02-20upd. 2026-04-15

Urządzenie PROLiNK PRC2402M we firmware z datą 20190909 (przed 2021-06-13) zawiera krytyczną podatność command injection w interfejsie CGI. Atakujący bez uwierzytelnienia może wykonać dowolne polecenia systemowe na urządzeniu.

Pokaż oryginał (EN)

PROLiNK PRC2402M 20190909 before 2021-06-13 allows live_api.cgi?page=satellite_list OS command injection via shell metacharacters in the ip parameter (for satellite_status).

🤖 Analiza AI
Jak działa

Podatność występuje w skrypcie live_api.cgi podczas obsługi żądania z parametrem page=satellite_list. Parametr ip, przekazywany w kontekście funkcji satellite_status, nie jest poprawnie walidowany ani sanityzowany. Atakujący może wstrzyknąć shell metacharacters (np. średnik, potok, backtick) bezpośrednio do parametru ip, co skutkuje wykonaniem arbitralnych poleceń systemowych przez interpreter powłoki na urządzeniu.

Skutki

Atakujący zdalny, nieuwierzytelniony może przejąć pełną kontrolę nad urządzeniem, odczytać lub zmodyfikować jego konfigurację, a także wykorzystać je jako punkt wejścia do dalszych działań w sieci lokalnej.

Mitygacja

Należy zaktualizować firmware urządzenia PROLiNK PRC2402M do wersji wydanej po 2021-06-13. Szczegóły dostępne w referencjach producenta oraz w poradniku bezpieczeństwa pod adresem https://starlabs.sg/advisories/21/21-35402/. Do czasu aktualizacji zaleca się odizolowanie panelu zarządzania urządzenia od sieci publicznej lub nieufanych segmentów sieci.

Kogo dotyczy

PROLiNK PRC2402M z firmware oznaczonym datą 20190909, wydanym przed 2021-06-13

Uwagi

Szczegóły podatności zostały opublikowane przez Star Labs SG w poradniku bezpieczeństwa dostępnym pod adresem https://starlabs.sg/advisories/21/21-35402/. Podatność dotyczy konkretnej wersji firmware identyfikowanej datą 20190909.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje