Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en los puntos de acceso ASUS (CVE-2016-6557)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
13/07/2018
Última modificación:
09/10/2019

Descripción

En los puntos de acceso ASUS RP-AC52 con versiones de firmware 1.0.1.1s y posiblemente anteriores, la interfaz web no verifica lo suficiente si una petición válida ha sido proporcionada intencionadamente por el usuario. Un atacante puede realizar acciones con los mismos permisos que los del usuario víctima, siempre que la víctima tenga una sesión activa y sea inducida a desencadenar la petición maliciosa.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:asus:rp-ac52_firmware:*:*:*:*:*:*:*:* 1.0.1.1s (incluyendo)
cpe:2.3:h:asus:rp-ac52:-:*:*:*:*:*:*:*
cpe:2.3:o:asus:ea-n66_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:asus:ea-n66:-:*:*:*:*:*:*:*
cpe:2.3:o:asus:rp-n12_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:asus:rp-n12:-:*:*:*:*:*:*:*
cpe:2.3:o:asus:rp-n14_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:asus:rp-n14:-:*:*:*:*:*:*:*
cpe:2.3:o:asus:rp-n53_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:asus:rp-n53:-:*:*:*:*:*:*:*
cpe:2.3:o:asus:rp-ac56_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:asus:rp-ac56:-:*:*:*:*:*:*:*
cpe:2.3:o:asus:wmp-n12_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:asus:wmp-n12:-:*:*:*:*:*:*:*