CRITICAL✓ PATCH🇬🇧 English

CVE-2023-39367

OS command injection w interfejsie web Peplink Smart Reader (mac2name)

CVSS 9.1v3.1pub. 2024-04-17upd. 2025-11-04

W funkcji mac2name interfejsu webowego urządzenia Peplink Smart Reader v1.2.0 istnieje podatność klasy OS command injection. Umożliwia ona uwierzytelnionemu atakującemu wykonanie dowolnych poleceń systemowych na urządzeniu, co przy ocenie CVSS 9.1 klasyfikuje ją jako krytyczną.

Pokaż oryginał (EN)

An OS command injection vulnerability exists in the web interface mac2name functionality of Peplink Smart Reader v1.2.0 (in QEMU). A specially crafted HTTP request can lead to arbitrary command execution. An attacker can make an authenticated HTTP request to trigger this vulnerability.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej walidacji danych wejściowych w funkcji mac2name dostępnej przez interfejs webowy. Atakujący może wysłać specjalnie spreparowane żądanie HTTP zawierające złośliwe dane, które są przekazywane bezpośrednio do powłoki systemowej bez odpowiedniego sanityzowania. Exploit wymaga uwierzytelnienia w interfejsie webowym urządzenia, jednak po jego uzyskaniu możliwe jest wykonanie dowolnych poleceń z uprawnieniami procesu obsługującego interfejs.

Skutki

Uwierzytelniony atakujący może wykonać dowolne polecenia systemowe na urządzeniu, co może prowadzić do pełnego przejęcia kontroli nad urządzeniem, ujawnienia poufnych danych, modyfikacji konfiguracji oraz naruszenia dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje dostępne w oficjalnym komunikacie bezpieczeństwa Peplink pod adresem wskazanym w referencjach producenta

Kogo dotyczy

Peplink Smart Reader w wersji firmware 1.2.0

Uwagi

Podatność została zidentyfikowana i opisana przez Cisco Talos Intelligence (raport TALOS-2023-1867). Podatność weryfikowano na emulowanym środowisku QEMU z firmware w wersji 1.2.0.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Peplink Smart Reader

    HW
    Peplink
    wszystkie wersje
  • Peplink Smart Reader Firmware

    OS
    Peplink
    1.2.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2023-45744HIGH8.3ten sam produkt

A data integrity vulnerability exists in the web interface /cgi-bin/upload_config.cgi functionality of Peplink...

CVE-2023-40146MEDIUM6.8ten sam produkt

A privilege escalation vulnerability exists in the /bin/login functionality of Peplink Smart Reader v1.2.0 (in...

CVE-2023-43491MEDIUM5.3ten sam produkt

An information disclosure vulnerability exists in the web interface /cgi-bin/debug_dump.cgi functionality of P...

CVE-2023-45209MEDIUM5.3ten sam produkt

An information disclosure vulnerability exists in the web interface /cgi-bin/download_config.cgi functionality...

CVE-2017-8835CRITICAL9.8ten sam vendor

SQL injection exists on Peplink Balance 305, 380, 580, 710, 1350, and 2500 devices with firmware before fw-b30...

CVE-2023-39367 — OS command injection w interfejsie web Peplink Smart Reader (mac2name) — CRITICAL 9.1 | CVEbaza.pl