CVE-2023-35086
ASUS RT-AX56U V2 & RT-AC86U - Format String -1
Em resumo
Uma vulnerabilidade de format string nos roteadores ASUS permite que um atacante com acesso administrativo envie dados especialmente preparados que são mal processados pela função de logging, podendo levar à execução de código não autorizado ou interrupção do serviço.
Detalhe técnico
Uma vulnerabilidade de format string existe na função logmessage_normal do módulo do_detwan_cgi dentro do httpd, onde entrada do usuário não sanitizada é passada diretamente como string de formato para syslog. Um atacante remoto autenticado pode explorar isso para alcançar execução arbitrária de código, operações arbitrárias do sistema ou negação de serviço nos dispositivos RT-AX56U V2 e RT-AC86U afetados.
Resumo gerado e traduzido por IA a partir da descrição oficial.
It is identified a format string vulnerability in ASUS RT-AX56U V2 & RT-AC86U. This vulnerability is caused by directly using input as a format string when calling syslog in logmessage_normal function, in the do_detwan_cgi module of httpd. A remote attacker with administrator privilege can exploit this vulnerability to perform remote arbitrary code execution, arbitrary system operation or disrupt service.
This issue affects RT-AX56U V2: 3.0.0.4.386_50460; RT-AC86U: 3.0.0.4_386_51529.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →