CVE-2023-52235

CVSS 8.8 HIGHEPSS 0.5%CWE-350

En resumen

El router Wi-Fi Starlink Gen 2 y el dish de SpaceX contienen una falla que permite que atacantes engañen a su navegador para enviar comandos no deseados (como reinicio) a su dispositivo mediante manipulación de DNS. Esto ocurre porque los dispositivos no verifican adecuadamente que las solicitudes provengan realmente de fuentes legítimas.

Detalle técnico

La vulnerabilidad explota protección CSRF insuficiente en las interfaces del router Starlink Gen 2 y dish, aprovechando DNS rebinding para eludir políticas de mismo origen. Un atacante puede crear sitios web maliciosos que, cuando son visitados por un usuario autenticado, desencadenan acciones administrativas no autorizadas como reiniciar el dispositivo sin consentimiento. Versiones afectadas: router anterior a 2023.53.0 y versiones específicas del firmware del dish.

Resumen generado y traducido por IA a partir de la descripción oficial.

SpaceX Starlink Wi-Fi router GEN 2 before 2023.53.0 and Starlink Dish before 07dd2798-ff15-4722-a9ee-de28928aed34 allow CSRF (e.g., for a reboot) via a DNS Rebinding attack.

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Productos afectados

n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://bugcrowd.com/disclosures/f529009b-90eb-4bf9-957d-6fe7ea890fa2/starlink-dishy-is-vulnerable-to-csrf-via-dns-rebinding