Vulnerabilidad en Productos TP-LINK (CVE-2023-40357)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
06/09/2023
Última modificación:
27/09/2024
Descripción
Múltiples productos TP-LINK permiten que un atacante autenticado adyacente a la red ejecute comandos arbitrarios del sistema operativo. Los productos/versiones afectados son los siguientes: Versiones de firmware de Archer AX50 anteriores a &#39;Archer AX50(JP)_V1_230529&#39;, Versiones de firmware de Archer A10 anteriores a &#39;Archer A10(JP)_V2_230504&#39;, Versiones de firmware de Archer AX10 anteriores a &#39;Archer AX10(JP) _V1.2_230508&#39; y versiones de firmware de Archer AX11000 anteriores a &#39;Archer AX11000(JP)_V1_230523&#39;.<br />
Impacto
Puntuación base 3.x
8.00
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:h:tp-link:archer_ax50:1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:tp-link:archer_ax50_firmware:*:*:*:*:*:*:*:* | 230529 (excluyendo) | |
| cpe:2.3:h:tp-link:archer_a10:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:tp-link:archer_a10_firmware:*:*:*:*:*:*:*:* | 230504 (incluyendo) | |
| cpe:2.3:h:tp-link:archer_ax10:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:tp-link:archer_ax10_firmware:*:*:*:*:*:*:*:* | 230508 (excluyendo) | |
| cpe:2.3:h:tp-link:archer_ax11000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:tp-link:archer_ax11000_firmware:*:*:*:*:*:*:*:* | 230523 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://jvn.jp/en/vu/JVNVU99392903/
- https://www.tp-link.com/jp/support/download/archer-a10/#Firmware
- https://www.tp-link.com/jp/support/download/archer-ax10/#Firmware
- https://www.tp-link.com/jp/support/download/archer-ax11000/#Firmware
- https://www.tp-link.com/jp/support/download/archer-ax50/#Firmware