Vulnerabilidad en los dispositivos Sophos Cyberoam con CyberoamOS (CVE-2014-5502)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
07/10/2014
Última modificación:
12/04/2025
Descripción
Los dispositivos Sophos Cyberoam con CyberoamOS anterior a 10.6.1 GA permite a usuarios remotos autenticados inyectar comandos arbitrarios a través de un código de operación (1) checkcert_key, (2) webclient_portal_settings, (3) sslvpn_liveuser_delete, o (4) ccc_flush_sql_file.
Impacto
Puntuación base 2.0
9.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cyberoam:cyberoam_os:*:ga:*:*:*:*:*:* | 10.4 (incluyendo) | |
| cpe:2.3:o:cyberoam:cyberoam_os:*:rc4:*:*:*:*:*:* | 10.6.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://kb.cyberoam.com/default.asp?id=3049
- http://www.zerodayinitiative.com/advisories/ZDI-14-328/
- http://www.zerodayinitiative.com/advisories/ZDI-14-331/
- http://www.zerodayinitiative.com/advisories/ZDI-14-332/
- http://www.zerodayinitiative.com/advisories/ZDI-14-333/
- http://kb.cyberoam.com/default.asp?id=3049
- http://www.zerodayinitiative.com/advisories/ZDI-14-328/
- http://www.zerodayinitiative.com/advisories/ZDI-14-331/
- http://www.zerodayinitiative.com/advisories/ZDI-14-332/
- http://www.zerodayinitiative.com/advisories/ZDI-14-333/