Vulnerabilidad en productos de ZTE Microwave (CVE-2017-10932)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
28/09/2017
Última modificación:
20/04/2025
Descripción
Todas las versiones anteriores a V12.17.20 de los productos de ZTE Microwave de la serie NR8000 (NR8120, NR8120A, NR8120, NR8150, NR8250, NR8000 TR y NR8950) son las aplicaciones de arquitectura C/S que emplean el servicio Java RMI mediante el cual los servidores emplean la biblioteca Apache Commons Collections (ACC), lo que puede originar vulnerabilidades de deserialización de Java. Un atacante remoto sin autenticar puede explotar estas vulnerabilidades enviando una petición RMI manipulada para ejecutar código arbitrario en el host objetivo.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
10.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:zte:nr8120_firmware:*:*:*:*:*:*:*:* | 12.17.20 (excluyendo) | |
| cpe:2.3:h:zte:nr8120:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zte:nr8120a_firmware:*:*:*:*:*:*:*:* | 12.17.20 (excluyendo) | |
| cpe:2.3:h:zte:nr8120a:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zte:nr8150_firmware:*:*:*:*:*:*:*:* | 12.17.20 (excluyendo) | |
| cpe:2.3:h:zte:nr8150:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zte:nr8250_firmware:*:*:*:*:*:*:*:* | 12.17.20 (excluyendo) | |
| cpe:2.3:h:zte:nr8250:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zte:nr8000tr_firmware:*:*:*:*:*:*:*:* | 12.17.20 (excluyendo) | |
| cpe:2.3:h:zte:nr8000tr:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:zte:nr8950_firmware:*:*:*:*:*:*:*:* | 12.17.20 (excluyendo) | |
| cpe:2.3:h:zte:nr8950:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página