Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la biblioteca /sqfs/lib/libsal.so.0.0. por una aplicación CGI en los dispositivos NETGEAR (CVE-2021-33514)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
21/05/2021
Última modificación:
04/01/2022

Descripción

Determinados dispositivos NETGEAR están afectados por una inyección de comandos por un atacante no autenticado por medio de la biblioteca vulnerable /sqfs/lib/libsal.so.0.0 usado por una aplicación CGI, como es demostrado por setup.cgi?token=';$HTTP_USER_AGENT;' con un comando del sistema operativo en el campo User-Agent. Esto afecto a GC108P versiones anteriores a1.0.7.3, GC108PP versiones anteriores a 1.0.7.3, GS108Tv3 versiones anteriores a 7.0.6.3, GS110TPPv1 versiones anteriores a 7.0.6.3, GS110TPv3 versiones anteriores a 7.0.6.3, GS110TUPv1 versiones anteriores a 1.0.4.3, GS710TUPv1 versiones anteriores a 1.0.4.3, GS716TP versiones anteriores a 1.0.2.3, GS716TPP versiones anteriores a 1.0.2.3, GS724TPPv1 versiones anteriores a 2.0.4.3, GS724TPv2 versiones anteriores a 2.0.4.3, GS728TPPv2 versiones anteriores a 6.0.6.3, GS728TPv2 versiones anteriores a 6.0.6.3, GS752TPPv1 versiones anteriores a 6.0.6.3, GS752TPv2 versiones anteriores a 6.0.6.3, MS510TXM versiones anteriores a 1.0.2.3, y MS510TXUP versiones anteriores a 1.0.2.3

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:netgear:gc108p_firmware:*:*:*:*:*:*:*:* 1.0.7.3 (excluyendo)
cpe:2.3:h:netgear:gc108p:-:*:*:*:*:*:*:*
cpe:2.3:o:netgear:gc108pp_firmware:*:*:*:*:*:*:*:* 1.0.7.3 (excluyendo)
cpe:2.3:h:netgear:gc108pp:-:*:*:*:*:*:*:*
cpe:2.3:o:netgear:gs108t_firmware:*:*:*:*:*:*:*:* 7.0.6.3 (excluyendo)
cpe:2.3:h:netgear:gs108tv3:-:*:*:*:*:*:*:*
cpe:2.3:o:netgear:gs110tpp_firmware:*:*:*:*:*:*:*:* 7.0.6.3 (excluyendo)
cpe:2.3:h:netgear:gs110tpp:v1:*:*:*:*:*:*:*
cpe:2.3:o:netgear:gs110tp_firmware:*:*:*:*:*:*:*:* 7.0.6.3 (excluyendo)
cpe:2.3:h:netgear:gs110tp:v3:*:*:*:*:*:*:*
cpe:2.3:o:netgear:gs110tup_firmware:*:*:*:*:*:*:*:* 1.0.4.3 (excluyendo)
cpe:2.3:h:netgear:gs110tup:v1:*:*:*:*:*:*:*
cpe:2.3:o:netgear:gs710tup_firmware:*:*:*:*:*:*:*:* 1.0.4.3 (excluyendo)
cpe:2.3:h:netgear:gs710tup:v1:*:*:*:*:*:*:*
cpe:2.3:o:netgear:gs716tp_firmware:*:*:*:*:*:*:*:* 1.0.2.3 (excluyendo)