Uma neutralização inadequada de elementos especiais usados em uma vulnerabilidade de comando do SO ('Injeção de comando do SO') na funcionalidade de domínio de diretório no Synology Router Manager (SRM) antes do 1.3.1-9346-6 permite que usuários autenticados remotos executem comandos arbitrários por meio de vetores não especificados.
Essa vulnerabilidade permite que invasores adjacentes à rede executem código arbitrário em instalações afetadas de roteadores Synology RT6600ax . A autenticação é necessária para explorar essa vulnerabilidade.
A falha específica existe no endpoint da API WEB. O problema resulta da falta de validação adequada de uma cadeia de caracteres fornecida pelo usuário antes de usá-la para executar uma chamada do sistema. Um invasor pode aproveitar essa vulnerabilidade para executar o código no contexto da raiz.
CVE-2023-41738
Sinologia
Gerenciador de roteador de sinologia
7.2
A Team82 tem o compromisso de relatar, de forma privada, vulnerabilidades aos fornecedores afetados de maneira coordenada e oportuna, a fim de garantir a segurança do ecossistema de cibersegurança em todo o mundo. Para se envolver com o fornecedor e a comunidade de pesquisa, a Team82 convida você a baixar e compartilhar nossa Política de divulgação coordenada. A Team82 aderirá a esse processo de divulgação e relatório quando descobrirmos vulnerabilidades em produtos e serviços.
A Team82 também disponibilizou sua chave PGP pública para que o fornecedor e a comunidade de pesquisa troquem informações de vulnerabilidade e pesquisa conosco com segurança.
