Vulnerabilidad en un nombre de archivo en "upload tftp syslog" y "upload tftp configuration" en la CLI en diversos dispositivos OLT V-SOL (CVE-2020-29381)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
29/11/2020
Última modificación:
21/07/2021
Descripción
Se detectó un problema en los dispositivos OLT V-SOL V1600D versiones V2.03.69 y V2.03.57, V1600D4L versión V1.01.49, V1600D-MINI versión V1.01.48, V1600G1 versiones V2.0.7 y V1.9.7, y V1600G2 versión V1.1.4. Una inyección de comandos puede ocurrir en "upload tftp syslog" y "upload tftp configuration" en la CLI por medio de un nombre de archivo diseñado
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
10.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:vsolcn:v1600d_firmware:2.03.57:*:*:*:*:*:*:* | ||
| cpe:2.3:o:vsolcn:v1600d_firmware:2.03.69:*:*:*:*:*:*:* | ||
| cpe:2.3:h:vsolcn:v1600d:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:vsolcn:v1600d4l_firmware:1.01.49:*:*:*:*:*:*:* | ||
| cpe:2.3:h:vsolcn:v1600d4l:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:vsolcn:v1600d-mini_firmware:1.01.48:*:*:*:*:*:*:* | ||
| cpe:2.3:h:vsolcn:v1600d-mini:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:vsolcn:v1600g1_firmware:1.9.7:*:*:*:*:*:*:* | ||
| cpe:2.3:o:vsolcn:v1600g1_firmware:2.0.7:*:*:*:*:*:*:* | ||
| cpe:2.3:h:vsolcn:v1600g1:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:vsolcn:v1600g2_firmware:1.1.4:*:*:*:*:*:*:* | ||
| cpe:2.3:h:vsolcn:v1600g2:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página