Vulnerabilidad en Linksys (CVE-2013-10058)
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
01/08/2025
Última modificación:
06/08/2025
Descripción
Existe una vulnerabilidad de inyección de comandos del sistema operativo autenticado en varios modelos de routers Linksys (probados en el WRT160Nv2) con la versión de firmware v2.0.03 a través del endpoint apply.cgi. La interfaz web no depura correctamente la entrada proporcionada por el usuario al parámetro ping_size durante las operaciones de diagnóstico. Un atacante con credenciales válidas puede inyectar comandos de shell arbitrarios, lo que permite la ejecución remota de código.
Impacto
Puntuación base 4.0
8.60
Gravedad 4.0
ALTA
Referencias a soluciones, herramientas e información
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/linux/http/linksys_wrt160nv2_apply_exec.rb
- https://web.archive.org/web/20140830181242/http://www.s3cur1ty.de/m1adv2013-012
- https://www.exploit-db.com/exploits/24478
- https://www.exploit-db.com/exploits/25608
- https://www.vulncheck.com/advisories/linksys-legacy-routers-remote-command-injection
- https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/exploits/linux/http/linksys_wrt160nv2_apply_exec.rb
- https://web.archive.org/web/20140830181242/http://www.s3cur1ty.de/m1adv2013-012
- https://www.exploit-db.com/exploits/24478
- https://www.exploit-db.com/exploits/25608