Vulnerabilidad en CSRF en dispositivos Peplink Balance (CVE-2017-8836)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)

Fecha de publicación:

05/06/2017

Última modificación:

20/04/2025

Descripción

Se presenta una vulnerabilidad de tipo CSRF en dispositivos Peplink Balance 305, 380, 580, 710, 1350 y 2500 con versión de firmware anterior a fw-b305hw2_380hw6_580hw2_710hw3_1350hw2_2500-7.0.1-build2093. Los scripts CGI en la interfaz administrativa están afectados. Esto permite que un atacante ejecute comandos, si un usuario ha iniciado sesión visita un sitio web malicioso. Esto puede ser usado, por ejemplo, para cambiar las credenciales de la interfaz web administrativa.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.80

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:M/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: AV:N/AC:M/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Medio
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico

Puntuación base 2.0

6.80

Gravedad 2.0

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:o:peplink:b305hw2_firmware:7.0.1:::::::*
cpe:2.3:h:peplink:balance_305:-:::::::*
cpe:2.3:o:peplink:380hw6_firmware:7.0.1:::::::*
cpe:2.3:h:peplink:balance_380:-:::::::*
cpe:2.3:o:peplink:580hw2_firmware:7.0.1:::::::*
cpe:2.3:h:peplink:balance_580:-:::::::*
cpe:2.3:o:peplink:710hw3_firmware:7.0.1:::::::*
cpe:2.3:h:peplink:balance_710:-:::::::*
cpe:2.3:o:peplink:1350hw2_firmware:7.0.1:::::::*
cpe:2.3:h:peplink:balance_1350:-:::::::*
cpe:2.3:o:peplink:2500_firmware:7.0.1:::::::*
cpe:2.3:h:peplink:balance_2500:-:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:o:peplink:b305hw2_firmware:7.0.1:::::::*
cpe:2.3:h:peplink:balance_305:-:::::::*
cpe:2.3:o:peplink:380hw6_firmware:7.0.1:::::::*
cpe:2.3:h:peplink:balance_380:-:::::::*
cpe:2.3:o:peplink:580hw2_firmware:7.0.1:::::::*
cpe:2.3:h:peplink:balance_580:-:::::::*
cpe:2.3:o:peplink:710hw3_firmware:7.0.1:::::::*
cpe:2.3:h:peplink:balance_710:-:::::::*
cpe:2.3:o:peplink:1350hw2_firmware:7.0.1:::::::*
cpe:2.3:h:peplink:balance_1350:-:::::::*
cpe:2.3:o:peplink:2500_firmware:7.0.1:::::::*
cpe:2.3:h:peplink:balance_2500:-:::::::*

Vulnerabilidad en CSRF en dispositivos Peplink Balance (CVE-2017-8836)

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información