CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-2249

Critical
Published: Translated: NVD NIST

Summary

Urządzenia METIS DFS (wersje <= oscore 2.1.234-r18) udostępniają interfejs webowy na końcówce /console, który nie wymaga uwierzytelnienia. Uzyskanie dostępu do tej końcówki pozwala zdalnemu atakującemu na wykonywanie dowolnych poleceń systemowych z uprawnieniami 'daemon'.

Risk Assessment

To prowadzi do kompromitacji oprogramowania, co umożliwia nieautoryzowany dostęp do modyfikacji konfiguracji, odczytu i zmiany wrażliwych danych oraz zakłócania usług.

Recommendation

Zaleca się aktualizację urządzeń METIS DFS do wersji, która nie jest podatna na tę lukę oraz wdrożenie odpowiednich środków zabezpieczających, aby ograniczyć dostęp do interfejsu /console.

Original NVD description (English source)

METIS DFS devices (versions <= oscore 2.1.234-r18) expose a web-based shell at the /console endpoint that does not require authentication. Accessing this endpoint allows a remote attacker to execute arbitrary operating system commands with 'daemon' privileges. This results in the compromise of the software, granting unauthorized access to modify configuration, read and alter sensitive data, or disrupt services.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS