Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el campo ip-address en los dispositivos Hongdian H8922 (CVE-2021-28151)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
06/05/2021
Última modificación:
13/05/2021

Descripción

Los dispositivos Hongdian H8922 versión 3.0.5, permiten una inyección de comandos del sistema operativo por medio de metacaracteres de shell en el campo ip-address (también se conoce como Destination) para el comando ping tools.cgi, al que puede ser accesible con el nombre de usuario guest y la contraseña guest

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:hongdian:h8922_firmware:3.0.5:*:*:*:*:*:*:*
cpe:2.3:h:hongdian:h8922:-:*:*:*:*:*:*:*