Investigadores han publicado una vulnerabilidad en NetUSB, componente patentado de software utilizado por Netgear, TP-Link, entre otros, que permitiría a un atacante realizar una ejecución remota de código (RCE) en el dispositivo afectado (enrutadores de usuarios finales en su mayoría). El identificador asociado para esta vulnerabilidad en dispositivos Netgear es CVE-2021-45608.
Dicha vulnerabilidad de severidad crítica posee una puntuación de 9.8. Ésta se debe a una incorrecta validación del input en la función SoftwareBus_fillBuf, que permite un desbordamiento de búfer. Un atacante podría aprovechar esta vulnerabilidad y realizar ejecución remota de código (RCE) en el dispositivo vulnerable.
Son afectados todos los dispositivos que utilicen el componente NetUSB, entre los que se destacan los de las siguientes marcas que no hayan tenido una actualización que subsane esta vulnerabilidad:
- Netgear
- TP-Link
- Tenda
- EDiMAX
- DLink
- Western Digital
Recomendamos instalar las actualizaciones correspondientes provistas por cada proveedor. Para más información sobre las actualizaciones de Netgear, remitirse al siguiente enlace:
Referencias: