Vulnerabilidad en Yamaha (CVE-2024-22366)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
24/01/2024
Última modificación:
20/06/2025
Descripción
Existe un código de depuración activo en los dispositivos de punto de acceso a LAN inalámbrica de Yamaha. Si un usuario que ha iniciado sesión y sabe cómo utilizar la función de depuración accede a la página de administración del dispositivo, esta función se puede habilitar realizando operaciones específicas. Como resultado, se puede ejecutar un comando arbitrario del sistema operativo y/o se pueden alterar los ajustes de configuración del dispositivo. Los productos y versiones afectados son los siguientes: firmware WLX222 Rev.24.00.03 y anteriores, firmware WLX413 Rev.22.00.05 y anteriores, firmware WLX212 Rev.21.00.12 y anteriores, firmware WLX313 Rev.18.00.12 y anteriores, y WLX202 firmware Rev.16.00.18 y anteriores.
Impacto
Puntuación base 3.x
6.80
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:yamaha:wlx222_firmware:*:*:*:*:*:*:*:* | 24.00.04 (excluyendo) | |
| cpe:2.3:h:yamaha:wlx222:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:yamaha:wlx413_firmware:*:*:*:*:*:*:*:* | 22.00.06 (excluyendo) | |
| cpe:2.3:h:yamaha:wlx413:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:yamaha:wlx212_firmware:*:*:*:*:*:*:*:* | 21.00.13 (excluyendo) | |
| cpe:2.3:h:yamaha:wlx212:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:yamaha:wlx313_firmware:*:*:*:*:*:*:*:* | 18.00.13 (excluyendo) | |
| cpe:2.3:h:yamaha:wlx313:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:yamaha:wlx202_firmware:*:*:*:*:*:*:*:* | 16.00.19 (excluyendo) | |
| cpe:2.3:h:yamaha:wlx202:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página