Vulnerabilidad en /api/crontab en los routers móviles iRZ/ (CVE-2022-27226)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-352
Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)
Fecha de publicación:
19/03/2022
Última modificación:
28/03/2022
Descripción
Un problema de tipo CSRF en /api/crontab en los Routers Móviles iRZ versiones hasta 16-03-2022, permite a un actor de la amenaza crear una entrada crontab en el panel de administración del router. El cronjob ejecutará consecuentemente la entrada en el intervalo definido por el actor de la amenaza, conllevando a una ejecución de código remota, permitiendo al actor de la amenaza conseguir acceso al sistema de archivos. Además, si las credenciales por defecto del router no son rotadas o un actor de la amenaza detecta credenciales válidas, puede lograrse una ejecución de código remota sin la interacción del usuario
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
9.30
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:irz:ru21_firmware:*:*:*:*:*:*:*:* | 2022-03-16 (incluyendo) | |
| cpe:2.3:h:irz:ru21:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:irz:ru21w_firmware:*:*:*:*:*:*:*:* | 2022-03-16 (incluyendo) | |
| cpe:2.3:h:irz:ru21w:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:irz:rl21_firmware:*:*:*:*:*:*:*:* | 2022-03-16 (incluyendo) | |
| cpe:2.3:h:irz:rl21:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:irz:ru41_firmware:*:*:*:*:*:*:*:* | 2022-03-16 (incluyendo) | |
| cpe:2.3:h:irz:ru41:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:irz:rl01_firmware:*:*:*:*:*:*:*:* | 2022-03-16 (incluyendo) | |
| cpe:2.3:h:irz:rl01:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página