Vulnerabilidad en dispositivos TP-Link (CVE-2017-16960)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
27/11/2017
Última modificación:
20/04/2025
Descripción
Los dispositivos TP-Link TL-WVR, TL-WAR, TL-ER y TL-R permiten que usuarios autenticados remotos ejecuten comandos arbitrarios mediante metacaracteres shell en el campo t_bindif de un comando admin/interface en cgi-bin/luci. Esto se relaciona con la función get_device_byif en /usr/lib/lua/luci/controller/admin/interface.lua en uhttpd.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
9.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:h:tp-link:tl-er5510g:v2:*:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:tl-er5510g:v3:*:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:tl-er5520g:v2:*:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:tl-er5520g:v3:*:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:tl-er6120g:v2:*:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:tl-er6520g:v2:*:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:tl-er6520g:v3:*:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:tl-r4239g:v2:*:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:tl-r4299g:v2:*:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:tl-r473:v5:*:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:tl-r478:v6:*:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:tl-r478\+:v7:*:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:tl-r478g\+:v3:*:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:tl-r483:v5:*:*:*:*:*:*:* | ||
| cpe:2.3:h:tp-link:tl-r483g:v2:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página