Vulnerabilidad en OpenNDS (CVE-2023-38319)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
26/01/2024
Última modificación:
20/06/2025
Descripción
Se descubrió un problema en OpenNDS antes de 10.1.3. No logra sanitizar la entrada de la clave FAS en el archivo de configuración, lo que permite a los atacantes que tienen acceso directo o indirecto a este archivo ejecutar comandos arbitrarios del sistema operativo.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:opennds:opennds:*:*:*:*:*:*:*:* | 10.1.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/openNDS/openNDS/blob/master/ChangeLog
- https://github.com/openNDS/openNDS/releases/tag/v10.1.3
- https://openwrt.org/docs/guide-user/services/captive-portal/opennds
- https://www.forescout.com/resources/sierra21-vulnerabilities
- https://github.com/openNDS/openNDS/blob/master/ChangeLog
- https://github.com/openNDS/openNDS/releases/tag/v10.1.3
- https://openwrt.org/docs/guide-user/services/captive-portal/opennds
- https://www.forescout.com/resources/sierra21-vulnerabilities