Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de Netgear

Fecha de publicación 17/06/2020
Importancia
5 - Crítica
Recursos Afectados

Cuando se ejecutan las versiones de firmware anteriores a 3.2.15.25, en los siguientes productos:

  • RBK752,
  • RBK753,
  • RBK753S,
  • RBR750,
  • RBS750,
  • RBK852,
  • RBK853,
  • RBR850,
  • RBS850,
  • RBK842,
  • RBR840,
  • RBS840.

[Actualización 18/06/2020]

Cuando se ejecutan las versiones de firmware anteriores a 1.0.4.92, en los siguientes productos:

  • MK62,
  • MK63,
  • MR60,
  • MS60.

[Actualización 22/06/2020]

  • AC1450
  • D6220
  • D6300
  • D6400
  • D7000v2
  • D8500
  • DC112A
  • DGN2200
  • DGN2200M
  • DGN2200v4
  • DGND3700
  • EX3700
  • EX3800
  • EX3920
  • EX6000
  • EX6100
  • EX6120
  • EX6130
  • EX6150
  • EX6200
  • EX6920
  • EX7000
  • LG2200D
  • MBM621
  • MBR1200
  • MBR1515
  • MBR1516
  • MBR624GU
  • MBRN3000
  • MVBR1210C
  • R4500
  • R6200
  • R6200v2
  • R6250
  • R6300
  • R6300v2
  • R6400
  • R6400v2
  • R6700
  • R6700v3
  • R6900
  • R6900P
  • R7000
  • R7000P
  • R7100LG
  • R7300
  • R7850
  • R7900
  • R8000
  • R8300
  • R8500
  • RS400
  • WGR614v10
  • WGR614v8
  • WGR614v9
  • WGT624v4
  • WN2500RP
  • WN2500RPv2
  • WN3000RP
  • WN3100RP
  • WN3500RP
  • WNCE3001
  • WNDR3300
  • WNDR3300v2
  • WNDR3400
  • WNDR3400v2
  • WNDR3400v3
  • WNDR3700v3
  • WNDR4000
  • WNDR4500
  • WNDR4500v2
  • WNR1000v3
  • WNR2000v2
  • WNR3500
  • WNR3500L
  • WNR3500Lv2
  • WNR3500v2
  • WNR834Bv2
  • XR300
Descripción

[Actualización 18/06/2020] Netgear ha publicado 16 vulnerabilidades, 13 de severidad crítica y 3 de severidad alta, que afectan a sus productos.

Solución

Acceder a la página de soporte de Netgear, y descargar la última versión del firmware del dispositivo afectado.

Detalle

Los tipos de vulnerabilidades descritos en el conjunto de avisos publicados por Netgear son:

  • divulgación de credenciales de administrador,
  • inyección de comandos después de la autenticación,
  • inyección de comandos antes de la autenticación,
  • CSRF (Cross Site Request Forgery).

Encuesta valoración

Listado de referencias