Vulnerabilidad en Xiaomi R3P (CVE-2018-14010)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
15/07/2018
Última modificación:
12/09/2018
Descripción
Inyección de comandos del sistema operativo en la característica de opciones Wi-Fi de invitado en /cgi-bin/luci en Xiaomi R3P en versiones anteriores a la 2.14.5, R3C en versiones anteriores a la 2.12.15, R3 en versiones anteriores a la 2.22.15 y R3D en versiones anteriores a la 2.26.4 permite que un atacante ejecute cualquier comando mediante datos JSON manipulados.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
10.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:mi:xiaomi_r3p_firmware:*:*:*:*:*:*:*:* | 2.14.5 (excluyendo) | |
| cpe:2.3:h:mi:xiaomi_r3p:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:mi:xiaomi_r3c_firmware:*:*:*:*:*:*:*:* | 2.12.15 (excluyendo) | |
| cpe:2.3:h:mi:xiaomi_r3c:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:mi:xiaomi_r3d_firmware:*:*:*:*:*:*:*:* | 2.26.4 (excluyendo) | |
| cpe:2.3:h:mi:xiaomi_r3d:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:mi:xiaomi_r3:*:*:*:*:*:*:*:* | 2.22.15 (excluyendo) | |
| cpe:2.3:h:mi:xiaomi_r3:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página