CVSS: 10.0EPSS: 0%CPEs: 9EXPL: 0CVE-2021-27691
https://notcve.org/view.php?id=CVE-2021-27691
Command Injection in Tenda G0 routers with firmware versions v15.11.0.6(9039)_CN and v15.11.0.5(5876)_CN , and Tenda G1 and G3 routers with firmware versions v15.11.0.17(9502)_CN or v15.11.0.16(9024)_CN allows remote attackers to execute arbitrary OS commands via a crafted action/setDebugCfg request. This occurs because the "formSetDebugCfg" function executes glibc's system function with untrusted input. Una Inyección de Comandos en routers Tenda G0 con versiones de firmware v15.11.0.6 (9039) _CN y v15.11.0.5(5876) _CN, y routers Tenda G1 y G3 con versiones de firmware v15.11.0.17(9502) _CN o v15. 11.0.16(9024) _CN, permite a atacantes remotos ejecutar comandos arbitrarios del sistema operativo a través de una petición action/setDebugCfg deseñada. Esto ocurre porque la función "formSetDebugCfg" ejecuta la función del sistema de glibc con una entrada que no es de confianza • https://hackmd.io/%40aZYpdinUS2SD-yhAeHwOkw/rkhTCGzMd • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer •