botón arriba

CVE

Vulnerabilidad en el archivo binario /home/www/cgi-bin/diagnostics.cgi en la funcionalidad de ping en Airspan AirSpot 5410 (CVE-2022-36267)

Severidad:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/08/2022
Última modificación:
08/08/2023

Descripción

En Airspan AirSpot 5410 versiones 0.3.4.1-4 y anteriores, se presenta una vulnerabilidad de inyección de comandos remotos no autenticados. La funcionalidad de ping puede ser llamada sin autenticación del usuario cuando se diseña una petición http maliciosa al inyectar código en uno de los parámetros permitiendo una ejecución de código remoto. Esta vulnerabilidad es explotada por medio del archivo binario /home/www/cgi-bin/diagnostics.cgi que acepta peticiones no autenticadas y datos no saneados. Como resultado, un actor malicioso puede diseñar una petición específica e interactuar remotamente con el dispositivo

Productos y versiones vulnerables

  • cpe:2.3:o:airspan:airspot_5410_firmware:*:*:*:*:*:*:*:*
  • cpe:2.3:h:airspan:airspot_5410:-:*:*:*:*:*:*:*