CVE-2023-38095

CRÍTIC: (9,8)

CVSS3: 8,5

Netgear ProSAFE Network Management System podria permetre a un atacant remot carregar arxius arbitraris a causa de la validació incorrecta de les extensions d’arxiu per part de la classe MFileUploadController. En enviar una sol·licitud HTTP especialment dissenyada, l’atacant remot podria explotar aquesta vulnerabilitat per carregar un script PHP maliciós que podria permetre-li executar codi PHP arbitrari al sistema vulnerable.

Sistemes Afectats

• NetGear ProSAFE

Remediació
Consulteu els avisos de seguretat PSV-2023-0024 i PSV-2023-0025 de NETGEAR per obtenir informació sobre actualitzacions o solucions suggerides. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://www.zerodayinitiative.com/advisories/ZDI-23-920/
• https://kb.netgear.com/000065707/Security-Advisory-for-Multiple-Vulnerabilities-on-the-ProSAFE-Network-Management-System-PSV-2023-0024-PSV-2023-0025
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-38095