Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el campo JSON de la interfaz de la función ping en la página Debug Options en los dispositivos MultiTech Conduit (CVE-2020-7594)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
21/01/2020
Última modificación:
29/01/2020

Descripción

Los dispositivos MultiTech Conduit MTCDT-LVW2-24XX versión 1.4.17-ocea-13592, permiten a los administradores autenticados remotos ejecutar comandos arbitrarios del Sistema Operativo al navegar en la página Debug Options e ingresando metacaracteres de shell en el campo JSON de la interfaz de la función ping.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:multitech:conduit_mtcdt-lvw2-246a_firmware:1.4.17-ocea-13592:*:*:*:*:*:*:*
cpe:2.3:h:multitech:conduit_mtcdt-lvw2-246a:-:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información