Vulnerabilidad en NETGEAR RAX30 AX2400 (CVE-2022-4390)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

09/12/2022

Última modificación:

07/11/2023

Descripción

Hay una mala configuración de red en versiones anteriores a la 1.0.9.90 de la serie de routers NETGEAR RAX30 AX2400. IPv6 está habilitado para la interfaz WAN de forma predeterminada en estos dispositivos. Si bien existen restricciones de firewall que definen restricciones de acceso para el tráfico IPv4, estas restricciones no parecen aplicarse a la interfaz WAN para IPv6. Esto permite el acceso arbitrario a cualquier servicio que se ejecute en el dispositivo y que pueda estar escuchando inadvertidamente a través de IPv6, como los servidores SSH y Telnet generados en los puertos 22 y 23 de forma predeterminada. Esta configuración incorrecta podría permitir que un atacante interactúe con servicios a los que solo pueden acceder los clientes en la red local.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 10.00 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto