CVE-2024-20335

A vulnerability in the web-based management interface of Cisco Small Business 100, 300, and 500 Series Wireless APs could allow an authenticated, remote attacker to perform command injection attacks against an affected device. In order to exploit this vulnerability, the attacker must have valid administrative credentials for the device. This vulnerability is due to insufficient validation of user-supplied input. An attacker could exploit this vulnerability by sending a crafted HTTP request to the web-based management interface of an affected device. A successful exploit could allow the attacker to execute arbitrary code as the root user on the underlying operating system.

CVSS v3 6.5 MEDIUM

6.5^/10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 1.2 / Impact : 5.2

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required HIGH

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact NONE

Scope UNCHANGED

References

Link	Resource
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-wap-multi-85G83CRB	Vendor Advisory
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-wap-multi-85G83CRB	Vendor Advisory

Configurations

Configuration 1 (hide)

AND

cpe:2.3:o:cisco:wap121_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:wap121:-:*:*:*:*:*:*:*

Configuration 2 (hide)

AND

cpe:2.3:o:cisco:wap125_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:wap125:-:*:*:*:*:*:*:*

Configuration 3 (hide)

AND

cpe:2.3:o:cisco:wap131_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:wap131:-:*:*:*:*:*:*:*

Configuration 4 (hide)

AND

cpe:2.3:o:cisco:wap150_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:wap150:-:*:*:*:*:*:*:*

Configuration 5 (hide)

AND

cpe:2.3:o:cisco:wap320_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:wap320:-:*:*:*:*:*:*:*

Configuration 6 (hide)

AND

cpe:2.3:o:cisco:wap321_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:wap321:-:*:*:*:*:*:*:*

Configuration 7 (hide)

AND

cpe:2.3:o:cisco:wap351_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:wap351:-:*:*:*:*:*:*:*

Configuration 8 (hide)

AND

cpe:2.3:o:cisco:wap361_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:wap361:-:*:*:*:*:*:*:*

Configuration 9 (hide)

AND

cpe:2.3:o:cisco:wap571_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:wap571:-:*:*:*:*:*:*:*

Configuration 10 (hide)

AND

cpe:2.3:o:cisco:wap371_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:wap371:-:*:*:*:*:*:*:*

Configuration 11 (hide)

AND

cpe:2.3:o:cisco:wap571e_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:wap571e:-:*:*:*:*:*:*:*

Configuration 12 (hide)

AND

cpe:2.3:o:cisco:wap581_firmware:-:*:*:*:*:*:*:*

cpe:2.3:h:cisco:wap581:-:*:*:*:*:*:*:*

History

05 Aug 2025, 14:38

Type	Values Removed	Values Added
References	~~() https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-wap-multi-85G83CRB -~~	() https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-wap-multi-85G83CRB - Vendor Advisory
First Time		Cisco Cisco wap125 Firmware Cisco wap361 Firmware Cisco wap131 Firmware Cisco wap371 Cisco wap321 Firmware Cisco wap321 Cisco wap581 Cisco wap571e Firmware Cisco wap150 Cisco wap571 Firmware Cisco wap581 Firmware Cisco wap121 Cisco wap320 Cisco wap131 Cisco wap361 Cisco wap351 Firmware Cisco wap571e Cisco wap371 Firmware Cisco wap320 Firmware Cisco wap121 Firmware Cisco wap125 Cisco wap351 Cisco wap571 Cisco wap150 Firmware
CPE		cpe:2.3:h:cisco:wap320:-:::::::* cpe:2.3:o:cisco:wap321_firmware:-:::::::* cpe:2.3:o:cisco:wap581_firmware:-:::::::* cpe:2.3:o:cisco:wap361_firmware:-:::::::* cpe:2.3:h:cisco:wap571:-:::::::* cpe:2.3:h:cisco:wap371:-:::::::* cpe:2.3:h:cisco:wap581:-:::::::* cpe:2.3:h:cisco:wap351:-:::::::* cpe:2.3:o:cisco:wap320_firmware:-:::::::* cpe:2.3:o:cisco:wap571e_firmware:-:::::::* cpe:2.3:h:cisco:wap361:-:::::::* cpe:2.3:o:cisco:wap150_firmware:-:::::::* cpe:2.3:h:cisco:wap131:-:::::::* cpe:2.3:h:cisco:wap125:-:::::::* cpe:2.3:o:cisco:wap351_firmware:-:::::::* cpe:2.3:o:cisco:wap121_firmware:-:::::::* cpe:2.3:h:cisco:wap571e:-:::::::* cpe:2.3:h:cisco:wap150:-:::::::* cpe:2.3:o:cisco:wap131_firmware:-:::::::* cpe:2.3:h:cisco:wap321:-:::::::* cpe:2.3:o:cisco:wap571_firmware:-:::::::* cpe:2.3:h:cisco:wap121:-:::::::* cpe:2.3:o:cisco:wap371_firmware:-:::::::* cpe:2.3:o:cisco:wap125_firmware:-:::::::*

21 Nov 2024, 08:52

Type	Values Removed	Values Added
Summary		(es) Una vulnerabilidad en la interfaz de administración basada en web de los AP inalámbricos Cisco Small Business series 100, 300 y 500 podría permitir que un atacante remoto autenticado realice ataques de inyección de comandos contra un dispositivo afectado. Para aprovechar esta vulnerabilidad, el atacante debe tener credenciales administrativas válidas para el dispositivo. Esta vulnerabilidad se debe a una validación insuficiente de la entrada proporcionada por el usuario. Un atacante podría aprovechar esta vulnerabilidad enviando una solicitud HTTP manipulada a la interfaz de administración basada en web de un dispositivo afectado. Un exploit exitoso podría permitir al atacante ejecutar código arbitrario como usuario root en el sistema operativo subyacente.
References	~~() https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-wap-multi-85G83CRB -~~	() https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-wap-multi-85G83CRB -

06 Mar 2024, 17:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2024-03-06 17:15

Updated : 2025-08-05 14:38

NVD link : CVE-2024-20335

Mitre link : CVE-2024-20335

CVE.ORG link : CVE-2024-20335

JSON object : View

Products Affected

cisco

wap125
wap581_firmware
wap321_firmware
wap351_firmware
wap150
wap571
wap361
wap571_firmware
wap150_firmware
wap121
wap571e_firmware
wap571e
wap131_firmware
wap320
wap321
wap320_firmware
wap131
wap361_firmware
wap371_firmware
wap351
wap125_firmware
wap121_firmware
wap581
wap371

CWE

CWE-78

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')

6.5 /10