CVE-2017-6077
CVE-2017-6077
Vexday Risk Score
90Corregir ahora
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 9.8EPSS 68.2%KEV simPoC públicaNuclei —Metasploit —Patch —
Ciclo de vida
18 feb 2017PoC pública
22 feb 2017Publicada en NVD
07 mar 2022Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen
Una vulnerabilidad en enrutadores NETGEAR DGN2200 permite que usuarios autenticados ejecuten comandos peligrosos en el dispositivo inyectando código shell en una herramienta de ping. Esto puede dar a los atacantes control total del enrutador.
Detalle técnico
Inyección de comandos (CWE-78) en ping.cgi a través del parámetro ping_IPAddr en solicitudes HTTP POST permite que usuarios autenticados ejecuten comandos arbitrarios del sistema en dispositivos NETGEAR DGN2200 con firmware ≤10.0.0.50. La vulnerabilidad resulta de validación insuficiente de metacaracteres shell, permitiendo compromiso total del sistema.
Resumen generado y traducido por IA a partir de la descripción oficial.
ping.cgi on NETGEAR DGN2200 devices with firmware through 10.0.0.50 allows remote authenticated users to execute arbitrary OS commands via shell metacharacters in the ping_IPAddr field of an HTTP POST request.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/aPoCs públicas encontradas — 2
cve_referencewww.exploit-db.com/exploits/41394/no verificadoexploitdbwww.exploit-db.com/exploits/41394no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →