botón arriba

CVE

Vulnerabilidad en el archivo binario /home/www/cgi-bin/diagnostics.cgi en la funcionalidad de ping en Airspan AirSpot 5410 (CVE-2022-36267)

Severidad:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/08/2022
Última modificación:
08/08/2023

Descripción

En Airspan AirSpot 5410 versiones 0.3.4.1-4 y anteriores, se presenta una vulnerabilidad de inyección de comandos remotos no autenticados. La funcionalidad de ping puede ser llamada sin autenticación del usuario cuando se diseña una petición http maliciosa al inyectar código en uno de los parámetros permitiendo una ejecución de código remoto. Esta vulnerabilidad es explotada por medio del archivo binario /home/www/cgi-bin/diagnostics.cgi que acepta peticiones no autenticadas y datos no saneados. Como resultado, un actor malicioso puede diseñar una petición específica e interactuar remotamente con el dispositivo

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
9.80
Severidad 3.x
CRÍTICA

Productos y versiones vulnerables

  • cpe:2.3:o:airspan:airspot_5410_firmware:*:*:*:*:*:*:*:*
  • cpe:2.3:h:airspan:airspot_5410:-:*:*:*:*:*:*:*

Para consultar la lista completa de productos y versiones ver esta página

Referencias a soluciones, herramientas e información