← volver
CVE-2023-50919

CVE-2023-50919

CVSS 9.8 CRITICALEPSS 47.8%CWE-287
Vexday Risk Score
75Prioridad alta
Decisión SSVC (CISA)
Attend
PoC disponible → seguir de cerca
CVSS 9.8EPSS 47.8%KEV nãoPoC públicaNuclei Metasploit simPatch
Ciclo de vida
10 dic 2023Exploit Metasploit disponible
12 ene 2024Publicada en NVD
Recomendación: Planificar corrección próxima — ya existe PoC pública.
An issue was discovered on GL.iNet devices before version 4.5.0. There is an NGINX authentication bypass via Lua string pattern matching. This affects A1300 4.4.6, AX1800 4.4.6, AXT1800 4.4.6, MT3000 4.4.6, MT2500 4.4.6, MT6000 4.5.0, MT1300 4.3.7, MT300N-V2 4.3.7, AR750S 4.3.7, AR750 4.3.7, AR300M 4.3.7, and B1300 4.3.7.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a
PoCs públicas encontradas1
cve_referencepacketstormsecurity.com/files/176708/GL.iNet-Unauthenticated-Remote-Command-Execution.htmlno verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
http://packetstormsecurity.com/files/176708/GL.iNet-Unauthenticated-Remote-Command-Execution.htmlhttps://github.com/gl-inet/CVE-issues/blob/main/4.0.0/Authentication-bypass.md