Vulnerabilidad en OpenWrt libuci (CVE-2019-15513)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
23/08/2019
Última modificación:
07/11/2023
Descripción
Se detecto un problema un problema en OpenWrt libuci (también conocida como Biblioteca para la Interfaz de Configuración Unificada) en versiones anteriores a la 15.05.1 como se utiliza en los dispositivos Motorola CX2L MWR04L 1.01 y C1 MWR03 1.01. /tmp/.uci/network locking se maneja incorrectamente después de la recepción de un comando SetWanSettings largo, lo que lleva a un bloqueo del dispositivo.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
7.80
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:openwrt:libuci:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:motorola:cx2l_mwr04l_firmware:1.01:*:*:*:*:*:*:* | ||
| cpe:2.3:h:motorola:cx2l_mwr04l:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:motorola:c1_mwr03_firmware:1.01:*:*:*:*:*:*:* | ||
| cpe:2.3:h:motorola:c1_mwr03:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://git.openwrt.org/?p=project/uci.git%3Ba%3Dcommitdiff%3Bh%3D19e29ffc15dbd958e8e6a648ee0982c68353516f
- https://github.com/TeamSeri0us/pocs/blob/master/iot/morouter/motorola%E8%B7%AF%E7%94%B1%E5%99%A8%E6%96%87%E4%BB%B6%E8%A7%A3%E9%94%81%E6%BC%8F%E6%B4%9E.pdf
- https://lists.infradead.org/pipermail/openwrt-devel/2019-November/019736.html
- https://lists.openwrt.org/pipermail/openwrt-devel/2019-November/025453.html