Vulnerabilidad en GL-iNet (CVE-2024-45262)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
24/10/2024
Última modificación:
15/10/2025
Descripción
Se descubrió un problema en ciertos dispositivos GL-iNet, incluidos MT6000, MT3000, MT2500, AXT1800 y AX1800 4.6.2. El parámetro params en el método de llamada del endpoint /rpc es vulnerable a la navegación arbitraria de directorios, lo que permite a los atacantes ejecutar scripts en cualquier ruta.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:gl-inet:mt2500_firmware:*:*:*:*:*:*:*:* | 4.6.2 (incluyendo) | 4.6.4 (excluyendo) |
| cpe:2.3:h:gl-inet:mt2500:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:gl-inet:axt1800_firmware:*:*:*:*:*:*:*:* | 4.6.2 (incluyendo) | 4.6.4 (excluyendo) |
| cpe:2.3:h:gl-inet:axt1800:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:gl-inet:ax1800_firmware:*:*:*:*:*:*:*:* | 4.6.2 (incluyendo) | 4.6.4 (excluyendo) |
| cpe:2.3:h:gl-inet:ax1800:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:gl-inet:b3000_firmware:4.5.18:*:*:*:*:*:*:* | ||
| cpe:2.3:h:gl-inet:b3000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:gl-inet:a1300_firmware:4.5.17:*:*:*:*:*:*:* | ||
| cpe:2.3:h:gl-inet:a1300:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:gl-inet:x300b_firmware:4.5.17:*:*:*:*:*:*:* | ||
| cpe:2.3:h:gl-inet:x300b:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:gl-inet:x3000_firmware:4.4.9:*:*:*:*:*:*:* | ||
| cpe:2.3:h:gl-inet:x3000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:gl-inet:xe3000_firmware:4.4.9:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página