Vulnerabilidad en la función specific en el parámetro specific en la página de administración Web del firmware de ASUS BMC (CVE-2021-28205)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
06/04/2021
Última modificación:
14/04/2021
Descripción
La función specific en la página de administración Web del firmware de ASUS BMC (Borra la función de archivo de video SOL) no filtra el parámetro specific. Como obtener el permiso de administrador, unos atacantes remotos pueden usar los medios de salto de ruta para acceder a unos archivos del sistema
Impacto
Puntuación base 3.x
4.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:asus:z10pr-d16_firmware:1.14.51:*:*:*:*:*:*:* | ||
| cpe:2.3:h:asus:z10pr-d16:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:asus:asmb8-ikvm_firmware:1.14.51:*:*:*:*:*:*:* | ||
| cpe:2.3:h:asus:asmb8-ikvm:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:asus:z10pe-d16_ws_firmware:1.14.2:*:*:*:*:*:*:* | ||
| cpe:2.3:h:asus:z10pe-d16_ws:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página