Inicio / Alerta Temprana / Vulnerabilidades / CVE-2022-36267

Vulnerabilidad en el archivo binario /home/www/cgi-bin/diagnostics.cgi en la funcionalidad de ping en Airspan AirSpot 5410 (CVE-2022-36267)

Tipo: 
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Gravedad: 
Sin asignar
Fecha publicación : 
08/08/2022
Última modificación: 
12/08/2022
Descripción
En Airspan AirSpot 5410 versiones 0.3.4.1-4 y anteriores, se presenta una vulnerabilidad de inyección de comandos remotos no autenticados. La funcionalidad de ping puede ser llamada sin autenticación del usuario cuando se diseña una petición http maliciosa al inyectar código en uno de los parámetros permitiendo una ejecución de código remoto. Esta vulnerabilidad es explotada por medio del archivo binario /home/www/cgi-bin/diagnostics.cgi que acepta peticiones no autenticadas y datos no saneados. Como resultado, un actor malicioso puede diseñar una petición específica e interactuar remotamente con el dispositivo
Impacto
Vector de acceso: No disponible
Complejidad de Acceso: No disponible
Autenticación: No disponible
Tipo de impacto: No disponible
Productos y versiones vulnerables
  • cpe:2.3:o:airspan:airspot_5410_firmware:*:*:*:*:*:*:*:*
  • cpe:2.3:h:airspan:airspot_5410:-:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos