Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de inyección de comandos en Peplink Smart Reader

Fecha de publicación 18/04/2024
Identificador
INCIBE-2024-0199
Importancia
5 - Crítica
Recursos Afectados

Peplink Smart Reader, versión 1.2.0.

Descripción

Matt Wiseman, investigador de Cisco Talos, ha reportado una vulnerabilidad crítica en la interfaz web de Peplink Smart Reader, un sistema para gestionar el acceso a edificios, puestos de trabajo y transporte público, así como para la gestión del tiempo de los empleados.

Solución

Actualizar el firmware de Peplink Smart Reader a la versión 1.2.1.

Detalle

Una petición HTTP especialmente diseñada por un atacante podría explotar esta vulnerabilidad de inyección de comandos del sistema operativo en la interfaz web de Peplink Smart Reader y conducir a la ejecución arbitraria de comandos. Se ha asignado el identificador CVE-2023-39367 para esta vulnerabilidad.