CVE-2022-43486
https://notcve.org/view.php?id=CVE-2022-43486
Hidden functionality vulnerability in Buffalo network devices allows a network-adjacent attacker with an administrative privilege to enable the debug functionalities and execute an arbitrary command on the affected devices. Vulnerabilidad de funcionalidad oculta en dispositivos de red Buffalo WSR-3200AX4S firmware Ver. 1.26 y anteriores, versión del firmware WSR-3200AX4B. 1.25, versión del firmware WSR-2533DHP. 1.08 y anteriores, versión del firmware WSR-2533DHP2. 1.22 y anteriores, versión del firmware WSR-A2533DHP2. 1.22 y anteriores, versión del firmware WSR-2533DHP3. 1.26 y anteriores, versión del firmware WSR-A2533DHP3. 1.26 y anteriores, versión del firmware WSR-2533DHPL. 1.08 y anteriores, versión del firmware WSR-2533DHPL2. 1.03 y anteriores, versión del firmware WSR-2533DHPLS. 1.07 y anteriores, versión del firmware WCR-1166DS. 1.34 y anteriores, versión del firmware WEX-1800AX4. 1.13 y anteriores, y la versión del firmware WEX-1800AX4EA. 1.13 y versiones anteriores permiten que un atacante adyacente a la red con privilegios administrativos habilite las funcionalidades de depuración y ejecute un comando arbitrario en el dispositivo afectado. • https://jvn.jp/en/vu/JVNVU97099584 https://www.buffalo.jp/news/detail/20240131-01.html •
CVE-2022-43466
https://notcve.org/view.php?id=CVE-2022-43466
OS command injection vulnerability in Buffalo network devices allows a network-adjacent attacker with an administrative privilege to execute an arbitrary OS command if a specially crafted request is sent to a specific CGI program. Dispositivos de red Buffalo WSR-3200AX4S firmware Ver. 1.26 y anteriores, versión del firmware WSR-3200AX4B. 1.25, versión del firmware WSR-2533DHP2. 1.22 y anteriores, versión del firmware WSR-A2533DHP2. 1.22 y anteriores, versión del firmware WSR-2533DHP3. 1.26 y anteriores, versión del firmware WSR-A2533DHP3. 1.26 y anteriores, versión del firmware WSR-2533DHPL2. 1.03 y anteriores, versión del firmware WSR-2533DHPLS. 1.07 y anteriores, versión del firmware WEX-1800AX4. 1.13 y anteriores, y la versión del firmware WEX-1800AX4EA. 1.13 y anteriores permiten a un atacante adyacente a la red con privilegios administrativos ejecutar un comando arbitrario del sistema operativo si se envía una solicitud especialmente manipulada a un programa CGI específico. • https://jvn.jp/en/vu/JVNVU97099584 https://www.buffalo.jp/news/detail/20240131-01.html • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •