Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la configuración de la ACL JUCI, en los enrutadores Inteno (CVE-2017-11361)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-269 Gestión de privilegios incorrecta
Fecha de publicación:
17/07/2017
Última modificación:
20/04/2025

Descripción

Los enrutadores Inteno tienen una configuración inapropiada de la ACL JUCI, que permite a la cuenta "user" leer archivos, escribir en archivos y agregar claves SSH root por medio de comandos JSON en ubus. (La explotación algunas veces es fácil porque la contraseña de "user" puede ser "user" o puede coincidir con la clave de Wi-Fi).

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:intenogroup:inteno_router_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:intenogroup:inteno_router:-:*:*:*:*:*:*:*