Vulnerabilidad en Routers Cisco Small Business RV042 (CVE-2023-20026)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-77
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
20/01/2023
Última modificación:
12/03/2025
Descripción
Una vulnerabilidad en la interfaz de administración basada en web de los routers Cisco Small Business serie RV042 podría permitir que un atacante remoto autenticado inyecte comandos arbitrarios en un dispositivo afectado. Esta vulnerabilidad se debe a una validación incorrecta de los campos de entrada del usuario dentro de los paquetes HTTP entrantes. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud manipulada a la interfaz de administración basada en web. Un exploit exitoso podría permitir al atacante ejecutar comandos arbitrarios en un dispositivo afectado con privilegios de nivel superusuario. Para aprovechar estas vulnerabilidades, un atacante necesitaría tener credenciales de administrador válidas en el dispositivo afectado.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:cisco:rv016_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:rv016:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:rv042_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:rv042:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:rv042g_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:rv042g:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:cisco:rv082_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:cisco:rv082:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página