Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en una POST HTTP en la funcionalidad WebPro de Aspire-derived NEC PBXes (CVE-2019-20029)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
29/07/2020
Última modificación:
21/07/2021

Descripción

Se presenta una vulnerabilidad de escalada de privilegios explotable en la funcionalidad WebPro de Aspire-derived NEC PBXes, incluyendo todas las versiones de dispositivos SV8100, SV9100, SL1100 y SL2100. Una POST HTTP especialmente diseñada puede causar una escalada de privilegios resultando en que una cuenta muy privilegiada, incluya un nivel de acceso de desarrollador no documentado

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:nec:sv8100_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:nec:sv8100:-:*:*:*:*:*:*:*
cpe:2.3:o:nec:sv9100_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:nec:sv9100:-:*:*:*:*:*:*:*
cpe:2.3:o:nec:sl1100_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:nec:sl1100:-:*:*:*:*:*:*:*
cpe:2.3:o:nec:sl2100_firmware:*:*:*:*:*:*:*:*
cpe:2.3:h:nec:sl2100:-:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información