Vulnerabilidad en el firmware de los routers KAON AR2140
Identificación CVE | CVE-2024-3659 |
Fecha de publicación | 08 de agosto de 2024 |
Proveedor | Grupo KAON |
Producto | AR2140 |
Versiones vulnerables | Desde el 3.2.46 hasta el 4.2.16 |
Tipo de vulnerabilidad (CWE) | Neutralización Inadecuada de Elementos Especiales utilizados en un Comando (‘Inyección de Comando’) (CWE-77) |
Fuente del informe | Informe al CERT Polonia |
Descripción
CERT Polska recibió un informe sobre una vulnerabilidad en el firmware de los enrutadores AR2140 de KAON Group y participó en la coordinación de su divulgación.
La vulnerabilidad CVE-2024-3659 En los enrutadores AR2140 de KAON Group, se permite la inyección de un comando de shell mediante el envío de una solicitud diseñada a uno de los puntos finales. Para explotar esta vulnerabilidad, es necesario tener acceso al portal administrativo del enrutador.
La versión de firmware más antigua que se ha probado es la 3.2.46, y otras versiones anteriores también podrían ser vulnerables. El parche que corrige esta vulnerabilidad se publicó en la versión 4.2.16.
Créditos
Agradecemos a Arkadiusz Maruszczak por el informe de vulnerabilidad responsable.
Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/en/cvd/.