Vulnerabilidad en la función updateVersion en /cgi-bin/luci/api/wireless en los routers de la serie RG-EW de Ruijie Networks hasta ReyeeOS (CVE-2021-43164)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
04/05/2022
Última modificación:
12/07/2022
Descripción
Se presenta una vulnerabilidad de ejecución de código remota (RCE) en los routers de la serie RG-EW de Ruijie Networks hasta ReyeeOS versiones 1.55.1915 / EW_3.0(1)B11P55, por medio de la función updateVersion en /cgi-bin/luci/api/wireless
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:ruijienetworks:reyeeos:*:*:*:*:*:*:*:* | 1.55.1915_ew_3.0\(1\)b11p55 (incluyendo) | |
| cpe:2.3:h:ruijienetworks:rg-ew1200:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:ruijienetworks:rg-ew1200g_pro:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:ruijienetworks:rg-ew1800gx_pro:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:ruijienetworks:rg-ew300_pro:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:ruijienetworks:rg-ew3200gx_pro:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página