CVE-2025-43984
CriticalSummary
Na urządzeniach KuWFi GC111 (Wersja sprzętowa: CPE-LM321_V3.2, Wersja oprogramowania: GC111-GL-LM321_V3.0_20191211) odkryto problem związany z niezautoryzowanymi żądaniami /goform/goform_set_cmd_process. Złośliwe żądanie POST, wykorzystujące parametr SSID, pozwala zdalnym atakującym na wykonywanie dowolnych poleceń systemowych z uprawnieniami roota.
Risk Assessment
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne przejęcie kontroli nad urządzeniem. Wykorzystanie tej luki może prowadzić do kompromitacji systemu i utraty danych.
Recommendation
Zaleca się natychmiastowe zaktualizowanie oprogramowania urządzeń KuWFi GC111 do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto ograniczyć dostęp do interfejsu administracyjnego tylko do zaufanych adresów IP.
Original NVD description (English source)
An issue was discovered on KuWFi GC111 devices (Hardware Version: CPE-LM321_V3.2, Software Version: GC111-GL-LM321_V3.0_20191211). They are vulnerable to unauthenticated /goform/goform_set_cmd_process requests. A crafted POST request, using the SSID parameter, allows remote attackers to execute arbitrary OS commands with root privileges.

