Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en InHand Networks InRouter302

Fecha de publicación 13/05/2022
Importancia
5 - Crítica
Recursos Afectados

InHand Networks InRouter302, versiones 3.5.4 y 3.5.37.

Descripción

Cisco Talos ha publicado 19 vulnerabilidades, 13 de severidad crítica, 3 altas y 3 medias, que podrían permitir a un atacante la escalada de privilegios en el dispositivo.

Solución

Actualizar InHand Networks InRouter302 a la versión 3.5.45.

Detalle

Las vulnerabilidades críticas podrían permitir a un atacante la escalada de privilegios y son del tipo:

  • neutralización incorrecta de elementos especiales usados en un comando (inyección de comando),
  • neutralización incorrecta de elementos especiales usados en un comando del sistema operativo (inyección de comando del SO),
  • desbordamiento de búfer basado en pila (stack),
  • fichero temporal inseguro,
  • código de depuración sobrante,
  • validación incorrecta de entrada,
  • verificación inadecuada de la firma criptográfica.

Para las vulnerabilidades de severidad crítica se han asignado los identificadores: CVE-2022-26042, CVE-2022-26518, CVE-2022-26002, CVE-2022-26085, CVE-2022-26007, CVE-2022-21809, CVE-2022-25995, CVE-2022-26420, CVE-2022-26075, CVE-2022-26780, CVE-2022-26781, CVE-2022-26782 y CVE-2022-26510.

Para las vulnerabilidades de severidad alta se han asignado los identificadores: CVE-2022-24910, CVE-2022-25172 y CVE-2022-21182.

Para las vulnerabilidades de severidad media se han asignado los identificadores: CVE-2022-27172, CVE-2022-21238 y CVE-2022-26020.

Encuesta valoración

Listado de referencias
Vulnerability Spotlight: How an attacker could chain several vulnerabilities in an industrial wireless router to gain root access
Etiquetas