Vulnerabilidad en Nozomi Networks Inc. (CVE-2024-50372)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
26/11/2024
Última modificación:
23/01/2026
Descripción
Se descubrió una vulnerabilidad CWE-78 "Neutralización incorrecta de elementos especiales utilizados en un comando del SO ('Inyección de comando del SO')" que afecta a los siguientes dispositivos fabricados por Advantech: EKI-6333AC-2G (<= 1.6.3), EKI-6333AC-2GD (<= v1.6.3) y EKI-6333AC-1GPO (<= v1.2.1). La vulnerabilidad puede ser explotada por usuarios remotos no autenticados capaces de interactuar con el servicio "edgserver" predeterminado habilitado en el punto de acceso y se ejecutan comandos maliciosos con privilegios de superusuario. No hay autenticación habilitada en el servicio y la fuente de la vulnerabilidad reside en el código de procesamiento asociado a la operación "backup_config_to_utility".
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:advantech:eki-6333ac-2g_firmware:*:*:*:*:*:*:*:* | 1.6.5 (excluyendo) | |
| cpe:2.3:h:advantech:eki-6333ac-2g:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:advantech:eki-6333ac-2gd_firmware:*:*:*:*:*:*:*:* | 1.6.5 (excluyendo) | |
| cpe:2.3:h:advantech:eki-6333ac-2gd:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:advantech:eki-6333ac-1gpo_firmware:*:*:*:*:*:*:*:* | 1.2.2 (excluyendo) | |
| cpe:2.3:h:advantech:eki-6333ac-1gpo:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página