Vulnerabilidad en ASUS RT-AX92U (CVE-2023-35720)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-89
Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
03/05/2024
Última modificación:
12/08/2025
Descripción
ASUS RT-AX92U lighttpd mod_webdav.so Vulnerabilidad de divulgación de información de inyección SQL. Esta vulnerabilidad permite a atacantes adyacentes a la red revelar información confidencial en los enrutadores ASUS RT-AX92U afectados. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro del módulo mod_webdav.so. Al analizar una solicitud, el proceso no valida adecuadamente una cadena proporcionada por el usuario antes de usarla para construir consultas SQL. Un atacante puede aprovechar esta vulnerabilidad para revelar información en el contexto de la raíz. Era ZDI-CAN-16078.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:asus:rt-ax92u_firmware:3.0.0.4.386.46061:*:*:*:*:*:*:* | ||
| cpe:2.3:h:asus:rt-ax92u:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://www.asus.com/networking-iot-servers/whole-home-mesh-wifi-system/aimesh-wifi-routers-and-systems/rt-ax92u/helpdesk_bios/?model2Name=RT-AX92U
- https://www.zerodayinitiative.com/advisories/ZDI-23-1166/
- https://www.asus.com/networking-iot-servers/whole-home-mesh-wifi-system/aimesh-wifi-routers-and-systems/rt-ax92u/helpdesk_bios/?model2Name=RT-AX92U
- https://www.zerodayinitiative.com/advisories/ZDI-23-1166/