CVE-2021-28203

ASUS BMC's firmware: command injection - Web Set Media Image function

CVSS 7.2 HIGHEPSS 2.0%CWE-78

En resumen

Un fallo en la interfaz web de gestión del BMC ASUS permite que un administrador ejecute comandos arbitrarios en el dispositivo a través de la función Set Media Image debido a la falta de validación de entrada.

Detalle técnico

La función Web Set Media Image en el firmware del BMC ASUS no desinfecta los parámetros proporcionados por el usuario, permitiendo inyección de comandos. Un atacante autenticado con privilegios de administrador puede explotar esta vulnerabilidad para lograr ejecución remota de código en el dispositivo afectado.

Resumen generado y traducido por IA a partir de la descripción oficial.

The Web Set Media Image function in ASUS BMC’s firmware Web management page does not filter the specific parameter. As obtaining the administrator permission, remote attackers can launch command injection to execute command arbitrary.

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Productos afectados

ASUS · BMC firmware for ASMB8-iKVM ASUS · BMC firmware for Z10PE-D16 WS ASUS · BMC firmware for Z10PR-D16

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.asus.com/content/ASUS-Product-Security-Advisory/https://www.asus.com/tw/support/callus/https://www.twcert.org.tw/tw/cp-132-4573-aa336-1.html