Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Siklu EtherHaul radios (CVE-2016-10308)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-798 Credenciales embebidas en el software
Fecha de publicación:
30/03/2017
Última modificación:
20/04/2025

Descripción

Siklu EtherHaul radios en versiones anteriores a 3.7.1 y 6.x en versiones anteriores a 6.9.0 tienen incorporada, una cuenta root oculta, con una contraseña inalterable que es la misma en todos los dispositivos. Esta cuenta es accesible a través de SSH y la interface web del dispositivo y concede el acceso al OS Linux incrustado en el dispositivo, permitiendo un control total sobre él.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:siklu:etherhaul_firmware:*:*:*:*:*:*:*:* 3.7.0 (incluyendo)
cpe:2.3:o:siklu:etherhaul_firmware:6.0:*:*:*:*:*:*:*
cpe:2.3:h:siklu:etherhaul-5500fd:-:*:*:*:*:*:*:*
cpe:2.3:h:siklu:etherhaul_500tx:-:*:*:*:*:*:*:*
cpe:2.3:h:siklu:etherhaul_60ghz_v-band_radio:-:*:*:*:*:*:*:*
cpe:2.3:h:siklu:etherhaul_70\/80ghz_gigabit_radio:-:*:*:*:*:*:*:*
cpe:2.3:h:siklu:etherhaul_70\/80ghz_multi-gigabit_e-band_radio:-:*:*:*:*:*:*:*
cpe:2.3:h:siklu:etherhaul_70ghz_e-band_radio:-:*:*:*:*:*:*:*