Sintesi

Rilevate nuove vulnerabilità di sicurezza con gravità “alta” che interessano i dispositivi XR1000 e XR1000v2 di Netgear. Tali vulnerabilità potrebbero consentire l’esecuzione di comandi arbitrari e l’accesso a informazioni sensibili sui dispositivi target.

Tipologia

• Arbitrary Code Execution
• Information Disclosure

Prodotti e versioni affette

Netgear

• XR1000, versioni precedenti alla 1.0.0.74
• XR1000v2, versioni precedenti alla 1.1.1.22

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti seguendo le indicazioni disponibili ai link riportati nella sezione Riferimenti.

Riferimenti

https://kb.netgear.com/000066409/Security-Advisory-for-Post-Authentication-Command-Injection-on-Some-Routers-PSV-2023-0109

https://kb.netgear.com/000066408/Security-Advisory-for-Sensitive-Information-Disclosure-on-Some-Routers-PSV-2023-0117

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.