CVE-2026-2249
CriticalSummary
Urządzenia METIS DFS (wersje <= oscore 2.1.234-r18) udostępniają interfejs webowy na końcówce /console, który nie wymaga uwierzytelnienia. Uzyskanie dostępu do tej końcówki pozwala zdalnemu atakującemu na wykonywanie dowolnych poleceń systemowych z uprawnieniami 'daemon'.
Risk Assessment
To prowadzi do kompromitacji oprogramowania, co umożliwia nieautoryzowany dostęp do modyfikacji konfiguracji, odczytu i zmiany wrażliwych danych oraz zakłócania usług.
Recommendation
Zaleca się aktualizację urządzeń METIS DFS do wersji, która nie jest podatna na tę lukę oraz wdrożenie odpowiednich środków zabezpieczających, aby ograniczyć dostęp do interfejsu /console.
Original NVD description (English source)
METIS DFS devices (versions <= oscore 2.1.234-r18) expose a web-based shell at the /console endpoint that does not require authentication. Accessing this endpoint allows a remote attacker to execute arbitrary operating system commands with 'daemon' privileges. This results in the compromise of the software, granting unauthorized access to modify configuration, read and alter sensitive data, or disrupt services.

