CVE-2026-25070
CriticalSummary
Wersje oprogramowania układowego XikeStor SKS8310-8X Network Switch do 1.04.B07 zawierają podatność na wstrzykiwanie poleceń systemowych w punkcie końcowym /goform/PingTestSet. Umożliwia to nieautoryzowanym zdalnym atakującym wykonywanie dowolnych poleceń systemowych.
Risk Assessment
Atakujący mogą wykorzystać tę podatność do zdalnego wykonania kodu z uprawnieniami roota na przełączniku sieciowym, co stwarza poważne zagrożenie dla bezpieczeństwa sieci organizacji.
Recommendation
Zaleca się aktualizację oprogramowania układowego przełącznika do najnowszej wersji, aby usunąć tę podatność oraz wdrożenie odpowiednich środków zabezpieczających, aby ograniczyć dostęp do punktów końcowych.
Original NVD description (English source)
XikeStor SKS8310-8X Network Switch firmware versions 1.04.B07 and prior contain an OS command injection vulnerability in the /goform/PingTestSet endpoint that allows unauthenticated remote attackers to execute arbitrary operating system commands. Attackers can inject malicious commands through the destIp parameter to achieve remote code execution with root privileges on the network switch.

