Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en cgi_test.cgi de AirLive (CVE-2015-2279)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
25/07/2017
Última modificación:
20/04/2025

Descripción

El archivo cgi_test.cgi en BU-2015 con firmware versión 1.03.18, BU-3026 con firmware versión 1.43 y MD-3025 con firmware versión 1.81 de AirLive, permite a los atacantes remotos ejecutar comandos de sistema operativo arbitrarios por medio de metacaracteres shell después de un "&" (y por sí mismo, y) en el parámetro write_mac write_pid, write_msn, write_tan o write_hdv.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:airlive:bu-2015_firmware:1.03.18:*:*:*:*:*:*:*
cpe:2.3:h:airlive:bu-2015:-:*:*:*:*:*:*:*
cpe:2.3:o:airlive:bu-3026_firmware:1.43:*:*:*:*:*:*:*
cpe:2.3:h:airlive:bu-3026:-:*:*:*:*:*:*:*
cpe:2.3:o:airlive:md-3025_firmware:1.81:*:*:*:*:*:*:*
cpe:2.3:h:airlive:md-3025:-:*:*:*:*:*:*:*