Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en NETGEAR RAX30 (CVE-2023-34283)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-59 Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)
Fecha de publicación:
03/05/2024
Última modificación:
03/01/2025

Descripción

Vulnerabilidad de divulgación de información siguiente del enlace compartido USB de NETGEAR RAX30. Esta vulnerabilidad permite a atacantes físicamente presentes revelar información confidencial sobre las instalaciones afectadas de los enrutadores NETGEAR RAX30. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe en el manejo de enlaces simbólicos en medios USB extraíbles. Al crear un enlace simbólico, un atacante puede abusar del servidor web del enrutador para acceder a archivos locales arbitrarios. Un atacante puede aprovechar esta vulnerabilidad para revelar información en el contexto de la raíz. Era ZDI-CAN-19498.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:netgear:rax30_firmware:*:*:*:*:*:*:*:* 1.0.10.94 (excluyendo)
cpe:2.3:h:netgear:rax30:-:*:*:*:*:*:*:*