CVE-2022-23970 – ASUS RT-AX56U - Path Traversal
https://notcve.org/view.php?id=CVE-2022-23970
ASUS RT-AX56U’s update_json function has a path traversal vulnerability due to insufficient filtering for special characters in the URL parameter. An unauthenticated LAN attacker can overwrite a system file by uploading another file with the same file name, which results in service disruption. La función update_json de ASUS RT-AX56U, presenta una vulnerabilidad de salto de ruta debido a un filtrado insuficiente de caracteres especiales en el parámetro URL. Un atacante LAN no autenticado puede sobrescribir un archivo del sistema al cargar otro archivo con el mismo nombre, lo que resulta en una interrupción del servicio • https://www.twcert.org.tw/tw/cp-132-5784-68aa3-1.html • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •
CVE-2021-45757
https://notcve.org/view.php?id=CVE-2021-45757
ASUS AC68U <=3.0.0.4.385.20852 is affected by a buffer overflow in blocking.cgi, which may cause a denial of service (DoS). ASUS AC68U versiones anteriores a 3.0.0.4.385.20852 incluyéndola, está afectado por un desbordamiento de búfer en el archivo blocking.cgi, que puede causar una denegación de servicio (DoS) • http://ac68u.com http://asus.com https://github.com/IBUILI/Asus • CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') •
CVE-2021-45756
https://notcve.org/view.php?id=CVE-2021-45756
Asus RT-AC68U <3.0.0.4.385.20633 and RT-AC5300 <3.0.0.4.384.82072 are affected by a buffer overflow in blocking_request.cgi. Asus RT-AC68U versiones anteriores a 3.0.0.4.385.20633 y RT-AC5300 versiones anteriores a 3.0.0.4.384.82072, están afectados por un desbordamiento de búfer en el archivo blocking_request.cgi • http://asus.com http://rt-ac68u.com https://github.com/IBUILI/Asus • CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') •
CVE-2022-22814
https://notcve.org/view.php?id=CVE-2022-22814
The System Diagnosis service of MyASUS before 3.1.2.0 allows privilege escalation. El servicio System Diagnosis de MyASUS versiones anteriores a 3.1.2.0, permite una escalada de privilegios • https://www.asus.com/Static_WebPage/ASUS-Product-Security-Advisory •
CVE-2022-22262 – ASUS Armoury Crate & Aura Creator Installer之ROG Live Service - Improper Link Resolution Before File Access
https://notcve.org/view.php?id=CVE-2022-22262
ROG Live Service’s function for deleting temp files created by installation has an improper link resolution before file access vulnerability. Since this function does not validate the path before deletion, an unauthenticated local attacker can create an unexpected symbolic link to system file path, to delete arbitrary system files and disrupt system service. La función de ROG Live Service para borrar los archivos temporales creados por la instalación presenta una vulnerabilidad de resolución de enlaces incorrecta antes del acceso a los archivos. Dado que esta función no comprueba la ruta antes de la eliminación, un atacante local no autenticado puede crear un enlace simbólico no esperado a la ruta de archivos del sistema, para eliminar archivos arbitrarios del sistema e interrumpir el servicio del mismo. • https://www.twcert.org.tw/tw/cp-132-5693-f108f-1.html • CWE-59: Improper Link Resolution Before File Access ('Link Following') •