Vulnerabilidad en iSpot (CVE-2010-4507)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
30/12/2010
Última modificación:
11/04/2025
Descripción
Múltiples vulnerabilidades de falsificación de petición en sitios cruzados (CSRF) en iSpot v2.0.0.0 R1679, y el ClearSpot v2.0.0.0 R1512 y R1786, con firmware v1.9.9.4, permite a atacantes remotos secuestrar la autenticación de los usuarios por peticiones que (1) ejecuten comandos de su elección a través del parámetro cmd en una acción act_cmd_result sobre webmain.cgi, (2) permitir la gestión remota a través de una acción enable_remote_access act_network_set sobre webmain.cgi, (3) permitir el servicio TELNET a través de una acción ENABLE_TELNET act_set_wimax_etc_config sobre webmain.cgi, (4) disponer sesiones TELNET a través de ciertas acciones act_network_set sobre webmain.cgi, o (5) leer ficheros de su elección a través del parámetro FILE_PATH en una acción act_file_download sobre upgrademain.cgi.
Impacto
Puntuación base 2.0
9.30
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:clear:ispot_firmware:1.9.9.4:*:*:*:*:*:*:* | ||
| cpe:2.3:h:clear:ispot:2.0.0.0:r1679:*:*:*:*:*:* | ||
| cpe:2.3:a:clear:clearspot_firmware:1.9.9.4:*:*:*:*:*:*:* | ||
| cpe:2.3:h:clear:clearspot:2.0.0.0:r1512:*:*:*:*:*:* | ||
| cpe:2.3:h:clear:clearspot:2.0.0.0:r1786:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página