Vulnerabilidad en Four-Faith F3x36 router (CVE-2024-9644)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-306 Ausencia de autenticación para una función crítica

Fecha de publicación:

04/02/2025

Última modificación:

19/09/2025

Descripción

Four-Faith F3x36 router que utiliza el firmware v2.0.0 es vulnerable a una vulnerabilidad de omisión de autenticación en el servidor web administrativo. La autenticación no se aplica en algunas funciones administrativas cuando se utiliza "bapply.cgi" endpoint en lugar del "apply.cgiendpointnt normal. Un usuario remoto y no autenticado puede utilizar esta vulnerabilidad para modificar la configuración o encadenarla con vulnerabilidades autenticadas existentes.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.80

Gravedad 3.x

CRÍTICA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:o:four-faith:f3x36_firmware:2.0:::::::*
cpe:2.3:h:four-faith:f3x36:-:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://vulncheck.com/advisories/four-faith-hidden-api