CRITICAL🇬🇧 English

CVE-2013-10060

Command injection w routerach Netgear DGN2200B via pppoe.cgi

CVSS 9.4v4.0pub. 2025-08-01upd. 2025-09-23

Uwierzytelniona podatność typu OS command injection w oprogramowaniu routerów Netgear DGN2200B umożliwia zdalnemu atakującemu z ważnymi danymi logowania wykonanie dowolnych poleceń systemowych. Błąd pozwala na pełne przejęcie kontroli nad urządzeniem.

Pokaż oryginał (EN)

An authenticated OS command injection vulnerability exists in Netgear routers (tested on the DGN2200B model) firmware versions 1.0.0.36 and prior via the pppoe.cgi endpoint. A remote attacker with valid credentials can execute arbitrary commands via crafted input to the pppoe_username parameter. This flaw allows full compromise of the device and may persist across reboots unless configuration is restored.

🤖 Analiza AI
Jak działa

Podatność znajduje się w endpoincie pppoe.cgi, gdzie parametr pppoe_username nie jest odpowiednio filtrowany przed przekazaniem do wywołania systemowego. Atakujący posiadający prawidłowe dane uwierzytelniające może przesłać spreparowane dane wejściowe zawierające dodatkowe polecenia systemowe, które zostaną wykonane przez router z uprawnieniami systemu operacyjnego. Według opisu podatności efekty exploitacji mogą utrzymywać się po restarcie urządzenia, chyba że przywrócona zostanie oryginalna konfiguracja.

Skutki

Atakujący może uzyskać pełną kontrolę nad urządzeniem, wykonując dowolne polecenia w systemie operacyjnym routera, co obejmuje modyfikację konfiguracji, przechwytywanie ruchu sieciowego oraz trwałe utrzymanie dostępu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jeśli aktualizacja nie jest dostępna, zaleca się ograniczenie dostępu do interfejsu administracyjnego routera wyłącznie do zaufanych adresów IP oraz wyłączenie dostępu zdalnego do panelu zarządzania.

Kogo dotyczy

Netgear DGN2200B z oprogramowaniem w wersji 1.0.0.36 i wcześniejszych

Uwagi

Dostępny publiczny moduł exploit w ramach Metasploit Framework oraz wpisy w Exploit-DB (ID: 24513, 24974), co znacząco obniża próg wejścia dla potencjalnych atakujących. Urządzenie DGN2200B jest produktem wycofanym (legacy), dla którego producent może nie udostępniać dalszych aktualizacji.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Netgear Dgn2200b

    HW
    Netgear
    wszystkie wersje
  • Netgear Dgn2200b Firmware

    OS
    Netgear
    ≤ 1.1.0.36
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2016-11059HIGH7.5ten sam produkt

Certain NETGEAR devices are affected by password exposure. This affects AC1450 before 2017-01-06, C6300 before...

CVE-2018-21156HIGH7.2ten sam produkt

Certain NETGEAR devices are affected by a buffer overflow by an authenticated user. This affects D6220 before ...

CVE-2018-21163HIGH7.2ten sam produkt

Certain NETGEAR devices are affected by a stack-based buffer overflow by an authenticated user. This affects D...

CVE-2018-21139HIGH7.5ten sam produkt

Certain NETGEAR devices are affected by disclosure of sensitive information. This affects D1500 before 1.0.0.2...

CVE-2017-18756HIGH8.8ten sam produkt

Certain NETGEAR devices are affected by incorrect configuration of security settings. This affects D6220 befor...

CVE-2013-10060 — Command injection w routerach Netgear DGN2200B via pppoe.cgi — CRITICAL 9.4 | CVEbaza.pl