Vulnerabilidad en NETGEAR (CVE-2023-35721)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-295 Validación incorrecta de certificados

Fecha de publicación:

03/05/2024

Última modificación:

07/08/2025

Descripción

NETGEAR Múltiples enrutadores curl_post Vulnerabilidad de ejecución remota de código de validación de certificado incorrecta. Esta vulnerabilidad permite a atacantes adyacentes a la red comprometer la integridad de la información descargada en instalaciones afectadas de múltiples enrutadores NETGEAR. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la funcionalidad de actualización, que opera a través de HTTPS. El problema se debe a la falta de validación adecuada del certificado presentado por el servidor. Un atacante puede aprovechar esto junto con otras vulnerabilidades para ejecutar código arbitrario en el contexto de la raíz. Fue ZDI-CAN-19981.

Impacto

Vector 3.x

CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto