Vulnerabilidad en Tuoshi/Dionlink LT15D 4G Wi-Fi (CVE-2024-53944)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-94
Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
27/02/2025
Última modificación:
04/03/2025
Descripción
Se descubrió un problema en los dispositivos Tuoshi/Dionlink LT15D 4G Wi-Fi a través de M7628NNxlSPv2xUI_v1.0.1802.10.08_P4 y en los dispositivos LT21B a través de M7628xUSAxUIv2_v1.0.1481.15.02_P0. Un atacante remoto no autenticado con acceso a la red puede aprovechar una vulnerabilidad de inyección de comandos. El endpoint /goform/formJsonAjaxReq no pueden depurar los metacaracteres del shell enviados a través de parámetros JSON, lo que permite a los atacantes ejecutar comandos arbitrarios del sistema operativo con privilegios de superusuario.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Referencias a soluciones, herramientas e información
- http://www.tuoshi.net/productview.asp?id=218
- http://www.tuoshi.net/productview.asp?id=226
- https://github.com/actuator/cve/blob/main/Tuoshi/CVE-2024-53944-Whitepaper.pdf
- https://github.com/actuator/cve/blob/main/Tuoshi/CVE-2024-53944.txt
- https://github.com/actuator/cve/blob/main/Tuoshi/Firmware-M7628NNxISPv2xUI_v1.0.1802.10.08_P4-Blind-CMD-Injection-unauth-WAN.gif
- https://github.com/actuator/cve/blob/main/Tuoshi/CVE-2024-53944-Whitepaper.pdf