CVSS: 8.8EPSS: 0%CPEs: 8EXPL: 0CVE-2018-21123
https://notcve.org/view.php?id=CVE-2018-21123
Certain NETGEAR devices are affected by command injection by an unauthenticated attacker. This affects WC7500 before 6.5.3.9, WC7520 before 6.5.3.9, WC7600v1 before 6.5.3.9, and WC7600v2 before 6.5.3.9. Determinados dispositivos NETGEAR están afectados por una inyección de comandos por parte de un atacante no autenticado. Esto afecta a WC7500 versiones anteriores a 6.5.3.9, WC7520 versiones anteriores a 6.5.3.9, WC7600v1 versiones anteriores a 6.5.3.9 y WC7600v2 versiones anteriores a 6.5.3.9. • https://kb.netgear.com/000060235/Security-Advisory-for-Pre-Authentication-Command-Injection-on-Some-Wireless-Controllers-PSV-2018-0230 • CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component ('Injection') •
CVSS: 10.0EPSS: 0%CPEs: 10EXPL: 0CVE-2018-11106
https://notcve.org/view.php?id=CVE-2018-11106
NETGEAR has released fixes for a pre-authentication command injection in request_handler.php security vulnerability on the following product models: WC7500, running firmware versions prior to 6.5.3.5; WC7520, running firmware versions prior to 2.5.0.46; WC7600v1, running firmware versions prior to 6.5.3.5; WC7600v2, running firmware versions prior to 6.5.3.5; and WC9500, running firmware versions prior to 6.5.3.5. NETGEAR presenta correcciones publicadas para una inyección de comando previa a la autenticación en una vulnerabilidad de seguridad del archivo request_handler.php en los siguientes modelos de producto: WC7500, ejecutando versiones de firmware anteriores a 6.5.3.5; WC7520, ejecutando versiones de firmware anteriores a 2.5.0.46; WC7600v1, ejecutando versiones de firmware anteriores a 6.5.3.5; WC7600v2, ejecutando versiones de firmware anteriores a 6.5.3.5; y WC9500, ejecutando versiones de firmware anteriores a 6.5.3.5. • https://kb.netgear.com/000058243/Security-Advisory-for-Pre-Authentication-Command-Injection-in-request-handler-php-on-Some-Wireless-Controllers-PSV-2018-0051 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 7.2EPSS: 5%CPEs: 6EXPL: 2CVE-2016-11022
https://notcve.org/view.php?id=CVE-2016-11022
NETGEAR Prosafe WC9500 5.1.0.17, WC7600 5.1.0.17, and WC7520 2.5.0.35 devices allow a remote attacker to execute code with root privileges via shell metacharacters in the reqMethod parameter to login_handler.php. Los dispositivos NETGEAR Prosafe WC9500 versiones 5.1.0.17, WC7600 versión 5.1.0.17 y WC7520 versión 2.5.0.35, permiten a un atacante remoto ejecutar código con privilegios root por medio de metacaracteres de shell en el parámetro reqMethod en el archivo login_handler.php. • http://firmware.re/vulns/acsa-2015-002.php https://github.com/threat9/routersploit/blob/master/routersploit/modules/exploits/routers/netgear/prosafe_rce.py https://unit42.paloaltonetworks.com/new-mirai-variant-targets-enterprise-wireless-presentation-display-systems • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •