CVE-2021-28204

ASUS BMC's firmware: command injection - Modify user’s information function

CVSS 7.2 HIGHEPSS 2.0%CWE-78

En resumen

Una falla en la página de gestión web del firmware ASUS BMC permite que un atacante con acceso de administrador inyecte y ejecute comandos arbitrarios a través de la función de modificación de usuarios explotando parámetros sin filtrar. Esto podría dar al atacante control total del sistema.

Detalle técnico

Vulnerabilidad CWE-78 de inyección de comando en el firmware ASUS BMC afecta el endpoint de modificación de información de usuario de la interfaz de gestión web. Un atacante autenticado con privilegios de administrador puede inyectar comandos del sistema operativo a través de parámetros insuficientemente sanitizados, resultando en ejecución arbitraria de comando con privilegios de BMC.

Resumen generado y traducido por IA a partir de la descripción oficial.

The specific function in ASUS BMC’s firmware Web management page (Modify user’s information function) does not filter the specific parameter. As obtaining the administrator permission, remote attackers can launch command injection to execute command arbitrary.

CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Productos afectados

ASUS · BMC firmware for ASMB8-iKVM ASUS · BMC firmware for Z10PE-D16 WS ASUS · BMC firmware for Z10PR-D16

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.asus.com/content/ASUS-Product-Security-Advisory/https://www.asus.com/tw/support/callus/https://www.twcert.org.tw/tw/cp-132-4574-b61a6-1.html