Vulnerabilidad en el archivo binario /home/www/cgi-bin/diagnostics.cgi en la funcionalidad de ping en Airspan AirSpot 5410 (CVE-2022-36267)
Severidad:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/08/2022
Última modificación:
08/08/2023
Descripción
En Airspan AirSpot 5410 versiones 0.3.4.1-4 y anteriores, se presenta una vulnerabilidad de inyección de comandos remotos no autenticados. La funcionalidad de ping puede ser llamada sin autenticación del usuario cuando se diseña una petición http maliciosa al inyectar código en uno de los parámetros permitiendo una ejecución de código remoto. Esta vulnerabilidad es explotada por medio del archivo binario /home/www/cgi-bin/diagnostics.cgi que acepta peticiones no autenticadas y datos no saneados. Como resultado, un actor malicioso puede diseñar una petición específica e interactuar remotamente con el dispositivo
Impacto
Puntuación base 3.x
9.80
Severidad 3.x
CRÍTICA
Productos y versiones vulnerables
- cpe:2.3:o:airspan:airspot_5410_firmware:*:*:*:*:*:*:*:*
- cpe:2.3:h:airspan:airspot_5410:-:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página