Vulnerabilidad en la interfaz de administración basada en web de determinados Enrutadores Cisco Small Business RV Series (CVE-2019-15271)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
26/11/2019
Última modificación:
28/10/2025
Descripción
Una vulnerabilidad en la interfaz de administración basada en web de determinados Enrutadores Cisco Small Business RV Series, podría permitir a un atacante remoto autenticado ejecutar comandos arbitrarios con privilegios root. El atacante debe tener una credencial válida o un token de sesión activo. La vulnerabilidad es debido a la falta de comprobación de entrada de la carga útil HTTP. Un atacante podría explotar esta vulnerabilidad al enviar una petición HTTP maliciosa a la interfaz de administración basada en web del dispositivo objetivo. Una explotación con éxito podría permitir al atacante ejecutar comandos con privilegios root.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
9.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:rv016_multi-wan_vpn_firmware:*:*:*:*:*:*:*:* | 4.2.3.10 (excluyendo) | |
| cpe:2.3:h:cisco:rv016_multi-wan_vpn:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:rv042_dual_wan_vpn_firmware:*:*:*:*:*:*:*:* | 4.2.3.10 (excluyendo) | |
| cpe:2.3:h:cisco:rv042_dual_wan_vpn:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:rv042g_dual_gigabit_wan_vpn_firmware:*:*:*:*:*:*:*:* | 4.2.3.10 (excluyendo) | |
| cpe:2.3:h:cisco:rv042g_dual_gigabit_wan_vpn:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:rv082_dual_wan_vpn_firmware:*:*:*:*:*:*:*:* | 4.2.3.10 (excluyendo) | |
| cpe:2.3:h:cisco:rv082_dual_wan_vpn:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página