Inyección de comandos en mbNET.mini de Red Lion Europe
Fecha de publicación 04/07/2024
Identificador
INCIBE-2024-0341
Importancia
4 - Alta
Recursos Afectados
- mbNET.mini, versiones 2.2.11 y anteriores.
Descripción
El investigador Sebastian Dietz (CyberDanube), junto con la coordinación del CERT@VDE con el fabricante Red Lion Europe, ha reportado una vulnerabilidad de severidad alta de inyección de comandos del sistema operativo, que podría permitir a un atacante autenticado ejecutar comandos arbitrarios del sistema a través de peticiones GET.
Solución
Actualizar el producto afectado a la versión 2.2.13.
Detalle
Un atacante remoto con privilegios elevados podría ejecutar comandos arbitrarios del sistema a través de peticiones GET, debido a una neutralización incorrecta de los elementos especiales utilizados en un comando del sistema operativo. Se ha asignado el identificador CVE-2024-5672 para esta vulnerabilidad.
Listado de referencias