Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en los parámetros GET a CLI-PHP en determinados dispositivos NetModule (CVE-2021-39291)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-532 Exposición de información a través de archivos de log
Fecha de publicación:
23/08/2021
Última modificación:
02/11/2023

Descripción

Determinados dispositivos NetModule permiten obtener credenciales por medio de parámetros GET a CLI-PHP. Estos modelos con versiones de firmware anteriores a 4.3.0.113, 4.4.0.111 y 4.5.0.105 están afectados: NB800, NB1600, NB1601, NB1800, NB1810, NB2700, NB2710, NB2800, NB2810, NB3700, NB3701, NB3710, NB3711, NB3720 y NB3800.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:netmodule:netmodule_router_software:*:*:*:*:*:*:*:* 4.3.0.113 (excluyendo)
cpe:2.3:a:netmodule:netmodule_router_software:*:*:*:*:*:*:*:* 4.4.0.0 (incluyendo) 4.4.0.111 (excluyendo)
cpe:2.3:a:netmodule:netmodule_router_software:*:*:*:*:*:*:*:* 4.5.0.0 (incluyendo) 4.5.0.105 (excluyendo)
cpe:2.3:h:netmodule:nb1600:-:*:*:*:*:*:*:*
cpe:2.3:h:netmodule:nb1601:-:*:*:*:*:*:*:*
cpe:2.3:h:netmodule:nb1800:-:*:*:*:*:*:*:*
cpe:2.3:h:netmodule:nb1810:-:*:*:*:*:*:*:*
cpe:2.3:h:netmodule:nb2700:-:*:*:*:*:*:*:*
cpe:2.3:h:netmodule:nb2710:-:*:*:*:*:*:*:*
cpe:2.3:h:netmodule:nb2800:-:*:*:*:*:*:*:*
cpe:2.3:h:netmodule:nb2810:-:*:*:*:*:*:*:*
cpe:2.3:h:netmodule:nb3700:-:*:*:*:*:*:*:*
cpe:2.3:h:netmodule:nb3701:-:*:*:*:*:*:*:*
cpe:2.3:h:netmodule:nb3710:-:*:*:*:*:*:*:*
cpe:2.3:h:netmodule:nb3711:-:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información