Vulnerabilidad en Peplink Smart Reader v1.2.0 (CVE-2023-40146)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-77
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
17/04/2024
Última modificación:
21/08/2025
Descripción
Existe una vulnerabilidad de escalada de privilegios en la funcionalidad /bin/login de Peplink Smart Reader v1.2.0 (en QEMU). Un argumento de línea de comando especialmente manipulado puede conducir a un escape de shell limitado y capacidades elevadas. Un atacante puede autenticarse con credenciales codificadas y ejecutar la funcionalidad de Busybox predeterminada desbloqueada para desencadenar esta vulnerabilidad.
Impacto
Puntuación base 3.x
6.80
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:peplink:smart_reader_firmware:1.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:h:peplink:smart_reader:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://forum.peplink.com/t/peplink-security-advisory-smart-reader-firmware-1-2-0-cve-2023-43491-cve-2023-45209-cve-2023-39367-cve-2023-45744-cve-2023-40146/47256
- https://talosintelligence.com/vulnerability_reports/TALOS-2023-1868
- https://forum.peplink.com/t/peplink-security-advisory-smart-reader-firmware-1-2-0-cve-2023-43491-cve-2023-45209-cve-2023-39367-cve-2023-45744-cve-2023-40146/47256
- https://security.netapp.com/advisory/ntap-20240822-0008/
- https://talosintelligence.com/vulnerability_reports/TALOS-2023-1868