CVE-2023-25717
CVE-2023-25717
En resumen
Ruckus Wireless Admin versión 10.4 y anteriores permite que atacantes ejecuten código malicioso en el servidor sin necesidad de autenticarse, simplemente enviando una solicitud web especialmente diseñada. Esto es crítico porque proporciona control total del dispositivo de red a cualquier persona en internet.
Detalle técnico
Un atacante no autenticado puede lograr ejecución arbitraria de código mediante solicitudes HTTP GET al endpoint /forms/doLogin inyectando comandos del sistema en los parámetros login_username o password. La vulnerabilidad surge de validación insuficiente de entrada e inyección de comando (CWE-94), permitiendo ejecución de código a nivel del SO sin requerir autenticación.
Resumen generado y traducido por IA a partir de la descripción oficial.
Ruckus Wireless Admin through 10.4 allows Remote Code Execution via an unauthenticated HTTP GET Request, as demonstrated by a /forms/doLogin?login_username=admin&password=password$(curl substring.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →