CVE-2025-15607
Authenticated Command Injection in mcsd Service of TP-Link Archer AX53
En resumen
Un usuario autenticado puede inyectar comandos maliciosos en el servicio mscd del enrutador TP-Link Archer AX53 a través de funciones de depuración con validación insuficiente, permitiendo ejecutar comandos arbitrarios y obtener control total del dispositivo.
Detalle técnico
Existe una inyección de comandos (CWE-77) en la funcionalidad de depuración de mscd debido a la validación insuficiente de parámetros de redirección de registros y concatenación de contenido de archivo no validado en comandos de shell. Un atacante autenticado puede explotarlo para ejecutar comandos de sistema arbitrarios con privilegios de dispositivo, resultando en compromiso completo.
Resumen generado y traducido por IA a partir de la descripción oficial.
A command injection vulnerability on AX53 v1 occurs in mscd debug functionality due to insufficient input handling, allowing log redirection to arbitrary files and concatenation of unvalidated file content into shell commands, enabling authenticated attackers to inject and execute arbitrary commands. Successful exploitation may allow execution of malicious commands and ultimately full control of the device.
CVSS:4.0/AV:A/AC:L/AT:P/PR:H/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L
Productos afectados
TP-Link Systems Inc. · AX53 v1¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →