Vulnerabilidad en GL.iNet products (CVE-2023-50445)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
28/12/2023
Última modificación:
03/07/2024
Descripción
Vulnerabilidad de inyección de Shell<br />
GL.iNet A1300 v4.4.6<br />
AX1800 v4.4.6<br />
AXT1800 v4.4.6<br />
MT3000 v4.4.6<br />
MT2500 v4.4.6<br />
MT6000 v4.5.0<br />
MT1300 v4.3.7<br />
MT300N-V2 v4.3.7<br />
AR750S v4 .3.7<br />
AR750 v4.3.7<br />
AR300M v4.3.7<br />
B1300 v4.3.7.<br />
Permite a atacantes locales ejecutar código de su elección a través de las funciones get_system_log y get_crash_log del módulo logread, así como la función Upgrade_online del módulo de actualización.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:h:gl-inet:gl-mt1300:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:gl-inet:gl-mt1300_firmware:4.3.7:*:*:*:*:*:*:* | ||
| cpe:2.3:h:gl-inet:gl-mt300n-v2:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:gl-inet:gl-mt300n-v2_firmware:4.3.7:*:*:*:*:*:*:* | ||
| cpe:2.3:h:gl-inet:gl-ar750s:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:gl-inet:gl-ar750s_firmware:4.3.7:*:*:*:*:*:*:* | ||
| cpe:2.3:h:gl-inet:gl-ar750:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:gl-inet:gl-ar750_firmware:4.3.7:*:*:*:*:*:*:* | ||
| cpe:2.3:h:gl-inet:gl-ar300m:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:gl-inet:gl-ar300m_firmware:4.3.7:*:*:*:*:*:*:* | ||
| cpe:2.3:h:gl-inet:gl-b1300:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:gl-inet:gl-b1300_firmware:4.3.7:*:*:*:*:*:*:* | ||
| cpe:2.3:h:gl-inet:gl-mt6000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:gl-inet:gl-mt6000_firmware:4.5.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:gl-inet:gl-a1300_firmware:4.4.6:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página