Vulnerabilidad en Linksys E1000 (CVE-2013-3307)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)

Fecha de publicación:

11/07/2025

Última modificación:

15/07/2025

Descripción

Los dispositivos Linksys E1000 hasta la versión 2.1.02, los dispositivos E1200 anteriores a la versión 2.0.05 y los dispositivos E3200 hasta la versión 1.0.04 permiten la inyección de comandos del sistema operativo a través de metacaracteres de shell en el parámetro ping_ip apply.cgi en el puerto TCP 52000.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.30 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

8.30

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://web.archive.org/web/20140421001918/https://www.trustwave.com/spiderlabs/advisories/TWSL2013-008.txt