2 results (0.003 seconds)

CVSS: 9.8EPSS: 0%CPEs: 14EXPL: 0

A command injection vulnerability exists in apply.cgi on the ASUS RP-AC52 access point, firmware version 1.0.1.1s and possibly earlier, web interface specifically in the action_script parameter. The action_script parameter specifies a script to be executed if the action_mode parameter does not contain a valid state. If the input provided by action_script does not match one of the hard coded options, then it will be executed as the argument of either a system() or an eval() call allowing arbitrary commands to be executed. Existe una vulnerabilidad de inyección de comandos en apply.cgi en el punto de acceso de ASUS RP-AC52 en su versión del firmware 1.0.1.1s y posiblemente anteriores, en la interfaz web; específicamente en el parámetro action_script. El parámetro action_script especifica un script para que sea ejecutado si el parámetro action_mode no contiene un estado válido. • https://www.kb.cert.org/vuls/id/763843 https://www.securityfocus.com/bid/93596 • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •

CVSS: 8.8EPSS: 0%CPEs: 14EXPL: 0

In ASUS RP-AC52 access points with firmware version 1.0.1.1s and possibly earlier, the web interface, the web interface does not sufficiently verify whether a valid request was intentionally provided by the user. An attacker can perform actions with the same permissions as a victim user, provided the victim has an active session and is induced to trigger the malicious request. En los puntos de acceso ASUS RP-AC52 con versiones de firmware 1.0.1.1s y posiblemente anteriores, la interfaz web no verifica lo suficiente si una petición válida ha sido proporcionada intencionadamente por el usuario. Un atacante puede realizar acciones con los mismos permisos que los del usuario víctima, siempre que la víctima tenga una sesión activa y sea inducida a desencadenar la petición maliciosa. • https://www.kb.cert.org/vuls/id/763843 https://www.securityfocus.com/bid/93596 • CWE-352: Cross-Site Request Forgery (CSRF) •