Vulnerabilidad en la API Sysbus en Swisscom Internet Box 2, Internet Box Standard, Internet Box Plus, Internet Box 3 e Internet Box light (CVE-2020-16134)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
04/08/2020
Última modificación:
21/07/2021
Descripción
Se detectó un problema en Swisscom Internet Box 2, Internet Box Standard, Internet Box Plus versiones anteriores a 10.04.38, Internet Box 3 versiones anteriores a 11.01.20 e Internet Box light versiones anteriores a 08.06.06. Dadas las credenciales (configurables por el usuario) para la interfaz Web local o el acceso físico al botón plus o reset de un dispositivo, un atacante puede crear un usuario con privilegios elevados en la API Sysbus. Esto puede ser usado para modificar el acceso SSH local o remoto, permitiendo así una sesión de inicio de sesión como super usuario
Impacto
Puntuación base 3.x
8.00
Gravedad 3.x
ALTA
Puntuación base 2.0
7.70
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:swisscom:internet-box_2_firmware:*:*:*:*:*:*:*:* | 10.04.38 (excluyendo) | |
| cpe:2.3:h:swisscom:internet-box_2:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:swisscom:internet-box_standard_firmware:*:*:*:*:*:*:*:* | 10.04.38 (excluyendo) | |
| cpe:2.3:h:swisscom:internet-box_standard:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:swisscom:internet-box_plus_firmware:*:*:*:*:*:*:*:* | 10.04.38 (excluyendo) | |
| cpe:2.3:h:swisscom:internet-box_plus:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:swisscom:internet-box_3_firmware:*:*:*:*:*:*:*:* | 11.01.20 (excluyendo) | |
| cpe:2.3:h:swisscom:internet-box_3:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:swisscom:internet-box_light_firmware:*:*:*:*:*:*:*:* | 08.06.06 (excluyendo) | |
| cpe:2.3:h:swisscom:internet-box_light:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página