CRITICAL🇬🇧 English

CVE-2024-23627

Command injection w parametrze SaveStaticRouteIPv4Params routera Motorola MR2600

CVSS 9.0v3.1pub. 2024-01-26upd. 2024-11-21

W routerze Motorola MR2600 istnieje podatność typu command injection w parametrze 'SaveStaticRouteIPv4Params', umożliwiająca zdalne wykonanie poleceń systemowych. Mimo że podatność wymaga uwierzytelnienia, mechanizm autoryzacji można obejść, co czyni ją szczególnie niebezpieczną.

Pokaż oryginał (EN)

A command injection vulnerability exists in the 'SaveStaticRouteIPv4Params' parameter of the Motorola MR2600. A remote attacker can exploit this vulnerability to achieve command execution. Authentication is required, however can be bypassed.

🤖 Analiza AI
Jak działa

Atakujący znajdujący się w sieci lokalnej (wektor AV:A) może przesłać do routera odpowiednio spreparowane żądanie zawierające złośliwy payload w parametrze 'SaveStaticRouteIPv4Params'. Urządzenie nie filtruje prawidłowo danych wejściowych, przez co przekazuje je bezpośrednio do interpretera poleceń systemowych. Choć dostęp do podatnej funkcji wymaga uwierzytelnienia, mechanizm ten można ominąć, co obniża faktyczny próg ataku.

Skutki

Atakujący może osiągnąć pełne wykonanie dowolnych poleceń (RCE) na urządzeniu z możliwością wpływu na poufność, integralność i dostępność systemu oraz potencjalnie innych zasobów sieciowych (zakres S:C).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako środek tymczasowy zaleca się ograniczenie dostępu do panelu administracyjnego urządzenia wyłącznie do zaufanych hostów w sieci lokalnej oraz izolację urządzenia od niezaufanych segmentów sieci.

Kogo dotyczy

Motorola MR2600 (firmware routera Motorola MR2600) — konkretne wersje firmware wskazane w referencjach producenta

Uwagi

Szczegółowa analiza techniczna podatności opublikowana przez Exodus Intel w dniu 25 stycznia 2024 r., dostępna pod adresem wskazanym w referencjach.

CVSS Vector
CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Motorola Mr2600

    HW
    Motorola
    wszystkie wersje
  • Motorola Mr2600 Firmware

    OS
    Motorola
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-23626CRITICAL9.0PL ✓ten sam produkt

Command injection w parametrze SaveSysLogParams routera Motorola MR2600

CVE-2024-23628CRITICAL9.0PL ✓ten sam produkt

Command injection w Motorola MR2600 — parametr SaveStaticRouteIPv6Params

CVE-2024-23629CRITICAL9.6PL ✓ten sam produkt

Authentication bypass w routerze Motorola MR2600 — dostęp do chronionych zasobów

CVE-2024-23630CRITICAL9.0PL ✓ten sam produkt

Motorola MR2600 – dowolny upload firmware umożliwiający RCE

CVE-2022-34885HIGH7.2ten sam produkt

An improper input sanitization vulnerability in the Motorola MR2600 router could allow a local user with eleva...