Vulnerabilidad path traversal en productos Arris 

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a routers Arris, que permitiría a un atacante realizar un ataque de path traversal y obtener acceso a la configuración del sistema afectado.  

La vulnerabilidad identificada como CVE-2022-31793, de severidad “alta”, con una puntuación asignada de 7.5. Esta vulnerabilidad se debe a la omisión de un caracter en el sistema de archivos del servidor web Muhttpd utilizado en routers Arris. Esto permitiría a un atacante remoto no autenticado obtener información confidencial a través de un ataque del tipo path traversal. 

Los dispositivos afectados que utilizan el servidor Muhttpd son: 

• Arris NVG443, NVG599, NVG589, NVG510, BGW210 y BGW320. 

Recomendamos instalar las actualizaciones correspondientes provistas por Arris en el siguiente enlace: 

• https://arris.secure.force.com/consumers/ConsumerProductList?c=Touchstone%20Modems 

Nota: Adicionalmente, recomendamos deshabilitar el acceso remoto al router para que este no se vea expuesto. 

Referencias: 

• https://censys.io/cve-2022-31793-arris-routers-and-muhttpd/ 
• https://nvd.nist.gov/vuln/detail/CVE-2022-31793 
• https://arris.secure.force.com/consumers/ConsumerProductList?c=Touchstone%20Modems