CVE-2018-20334
https://notcve.org/view.php?id=CVE-2018-20334
An issue was discovered in ASUSWRT 3.0.0.4.384.20308. When processing the /start_apply.htm POST data, there is a command injection issue via shell metacharacters in the fb_email parameter. By using this issue, an attacker can control the router and get shell. Se detectó un problema en ASUSWRT versión 3.0.0.4.384.20308. Al procesar los datos POST del archivo /start_apply.htm, se presenta un problema de inyección de comandos por medio de metacaracteres de shell en el parámetro fb_email. • https://starlabs.sg/advisories/18-20334 • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVE-2013-3093
https://notcve.org/view.php?id=CVE-2013-3093
ASUS RT-N56U devices allow CSRF. Los dispositivos ASUS RT-N56U, permiten un ataque de tipo CSRF. • https://www.securityfocus.com/archive/1/531194 • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2020-7997
https://notcve.org/view.php?id=CVE-2020-7997
ASUS WRT-AC66U 3 RT 3.0.0.4.372_67 devices allow XSS via the Client Name field to the Parental Control feature. Los dispositivos ASUS WRT-AC66U 3 RT versión 3.0.0.4.372_67, permiten un ataque de tipo XSS por medio del campo Client Name en la funcionalidad Parental Control. • https://gist.github.com/adeshkolte/983bcadd82cc1fd60333098eb646ef68 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2018-8879
https://notcve.org/view.php?id=CVE-2018-8879
Stack-based buffer overflow in Asuswrt-Merlin firmware for ASUS devices older than 384.4 and ASUS firmware before 3.0.0.4.382.50470 for devices allows remote attackers to execute arbitrary code by providing a long string to the blocking.asp page via a GET or POST request. Vulnerable parameters are flag, mac, and cat_id. Un desbordamiento de búfer en la región stack de la memoria en el firmware Asuswrt-Merlin para dispositivos ASUS versiones anteriores a 384.4 y el firmware ASUS versiones anteriores a 3.0.0.4.382.50470 para dispositivos, permite a atacantes remotos ejecutar código arbitrario al proporcionar una cadena larga en la página block.asp por medio de una petición GET o POST. Los parámetros vulnerables son flag, mac y cat_id. • https://pagedout.institute/download/PagedOut_001_beta1.pdf https://www.asus.com/Networking/RTAC66U/HelpDesk_BIOS • CWE-787: Out-of-bounds Write •
CVE-2013-4656
https://notcve.org/view.php?id=CVE-2013-4656
Symlink Traversal vulnerability in ASUS RT-AC66U and RT-N56U due to misconfiguration in the SMB service. Una vulnerabilidad de Salto de Enlace Simbólico en ASUS RT-AC66U y RT-N56U debido a una configuración inapropiada en el servicio SMB. • https://www.ise.io/casestudies/exploiting-soho-routers https://www.ise.io/soho_service_hacks https://www.ise.io/wp-content/uploads/2017/07/soho_techreport.pdf • CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') •