// For flags

CVE-2019-12511

Root Command Injection via MAC Address in SOAP API

Severity Score

9.8
*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

1
*Multiple Sources

Exploited in Wild

-
*KEV

Decision

-
*SSVC
Descriptions

In NETGEAR Nighthawk X10-R9000 prior to 1.0.4.26, an attacker may execute arbitrary system commands as root by sending a specially-crafted MAC address to the "NETGEAR Genie" SOAP endpoint at AdvancedQoS:GetCurrentBandwidthByMAC. Although this requires QoS being enabled, advanced QoS being enabled, and a valid authentication JWT, additional vulnerabilities (CVE-2019-12510) allow an attacker to interact with the entire SOAP API without authentication. Additionally, DNS rebinding techniques may be used to exploit this vulnerability remotely. Exploiting this vulnerability is somewhat involved. The following limitations apply to the payload and must be overcome for successful exploitation: - No more than 17 characters may be used. - At least one colon must be included to prevent mangling. - A single-quote and meta-character must be used to break out of the existing command. - Parent command remnants after the injection point must be dealt with. - The payload must be in all-caps. Despite these limitations, it is still possible to gain access to an interactive root shell via this vulnerability. Since the web server assigns certain HTTP headers to environment variables with all-caps names, it is possible to insert a payload into one such header and reference the subsequent environment variable in the injection point.

En NETGEAR Nighthawk X10-R9000 anterior a la versión 1.0.4.26, un atacante puede ejecutar comandos arbitrarios del sistema como root enviando una dirección MAC especialmente diseñada al punto final SOAP "NETGEAR Genie" en AdvancedQoS: GetCurrentBandwidthByMAC. Aunque esto requiere QoS habilitado, QoS avanzado habilitado y un JWT de autenticación válido, las vulnerabilidades adicionales (CVE-2019-12510) permiten que un atacante interactúe con toda la API SOAP sin autenticación. Además, se pueden usar técnicas de reenlace de DNS para aprovechar esta vulnerabilidad de forma remota. Explotar esta vulnerabilidad está algo involucrado. Las siguientes limitaciones se aplican a la carga útil y deben superarse para una explotación con éxito: - No se pueden usar más de 17 caracteres. - Se debe incluir al menos un colon para evitar la destrucción. - Se debe usar una comilla simple y un metacarácter para romper el comando existente. - Los restos de la instrucción principal después del punto de inyección deben ser tratados. - La carga útil debe estar en mayúsculas. A pesar de estas limitaciones, todavía es posible obtener acceso a un shell raíz interactivo a través de esta vulnerabilidad. Dado que el servidor web asigna ciertos encabezados HTTP a variables de entorno con nombres en mayúsculas, es posible insertar una carga útil en uno de esos encabezados y hacer referencia a la variable de entorno posterior en el punto de inyección.

*Credits: N/A
CVSS Scores
Attack Vector
Network
Attack Complexity
Low
Privileges Required
None
User Interaction
None
Scope
Unchanged
Confidentiality
High
Integrity
High
Availability
High
Attack Vector
Network
Attack Complexity
Medium
Authentication
None
Confidentiality
Complete
Integrity
Complete
Availability
Complete
* Common Vulnerability Scoring System
SSVC
  • Decision:-
Exploitation
-
Automatable
-
Tech. Impact
-
* Organization's Worst-case Scenario
Timeline
  • 2019-06-01 CVE Reserved
  • 2020-02-24 CVE Published
  • 2024-08-04 CVE Updated
  • 2024-08-04 First Exploit
  • 2024-10-09 EPSS Updated
  • ---------- Exploited in Wild
  • ---------- KEV Due Date
CWE
  • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
CAPEC
References (1)
URL Tag Source
URL Date SRC
https://www.ise.io/casestudies/sohopelessly-broken-2-0 2024-08-04
URL Date SRC
URL Date SRC
Affected Vendors, Products, and Versions
Vendor Product Version Other Status
Vendor Product Version Other Status <-- --> Vendor Product Version Other Status
Netgear
Search vendor "Netgear"
 Nighthawk X10-r9000 Firmware
Search vendor "Netgear" for product "Nighthawk X10-r9000 Firmware"
 < 1.0.4.26
Search vendor "Netgear" for product "Nighthawk X10-r9000 Firmware" and version " < 1.0.4.26"
-
Affected
in Netgear
Search vendor "Netgear"
 Nighthawk X10-r9000
Search vendor "Netgear" for product "Nighthawk X10-r9000"
--
Safe