漏洞标题
N/A
漏洞描述信息
TP-Link Archer AX21 (AX1800) 固件版本在1.1.4 Build 20230219之前包含一个命令注入漏洞,该漏洞存在于Web管理界面中/cgi-bin/luci;stok=/locale endpoint的国家形式。具体来说,在将写操作的国家参数用于popen()调用之前,未进行去重,导致未授权的 attacker 可以注入命令,这些命令将以root权限运行,通过简单的POST请求。
CVSS信息
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
TP-Link Archer AX21 (AX1800) firmware versions before 1.1.4 Build 20230219 contained a command injection vulnerability in the country form of the /cgi-bin/luci;stok=/locale endpoint on the web management interface. Specifically, the country parameter of the write operation was not sanitized before being used in a call to popen(), allowing an unauthenticated attacker to inject commands, which would be run as root, with a simple POST request.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
TP-LINK Archer AX21 命令注入漏洞
漏洞描述信息
TP-LINK Archer AX21是中国普联(TP-LINK)公司的一款无线路由器。 TP-LINK Archer AX21 1.1.4 Build 20230219之前的固件版本存在安全漏洞,该漏洞源于存在命令注入漏洞,未经身份验证的攻击者利用该漏洞可以通过简单的POST请求注入以root身份运行的命令。
CVSS信息
N/A
漏洞类别
命令注入