CVE-2017-6884
CVE-2017-6884
En resumen
Un enrutador Zyxel permite a atacantes ejecutar comandos arbitrarios en la herramienta de diagnóstico nslookup al inyectar entrada maliciosa en el parámetro ping_ip. Esto otorga control total del enrutador al atacante.
Detalle técnico
Vulnerabilidad de inyección de comando en el firmware V1.00(AAQT.4)b8 del Zyxel EMG2926, en la función nslookup de herramientas de diagnóstico, permite ejecución remota de código arbitrario mediante parámetro ping_ip no sanitizado en la URI expert/maintenance/diagnostic/nslookup. El vector de ataque requiere acceso a la interfaz web del enrutador; la explotación exitosa otorga ejecución de comandos con privilegios del enrutador.
Resumen generado y traducido por IA a partir de la descripción oficial.
A command injection vulnerability was discovered on the Zyxel EMG2926 home router with firmware V1.00(AAQT.4)b8. The vulnerability is located in the diagnostic tools, specifically the nslookup function. A malicious user may exploit numerous vectors to execute arbitrary commands on the router, such as the ping_ip parameter to the expert/maintenance/diagnostic/nslookup URI.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/aPoCs públicas encontradas — 2
cve_referencewww.exploit-db.com/exploits/41782/no verificadoexploitdbwww.exploit-db.com/exploits/41782no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →