CVE-2025-22906
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Wysokie ryzykoPercentyl 80 - wyżej niż 80% wszystkich znanych CVE
Streszczenie
W urządzeniu RE11S w wersji 1.11 wykryto podatność na wstrzykiwanie poleceń przez parametr L2TPUserName w skrypcie /goform/setWAN. Atakujący może zdalnie wykonać dowolne polecenia systemowe.
Ocena ryzyka
Ryzyko polega na możliwości przejęcia pełnej kontroli nad urządzeniem przez nieuwierzytelnionego atakującego, co może prowadzić do naruszenia poufności i integralności sieci.
Rekomendacja
Należy natychmiast zaktualizować oprogramowanie sprzętowe (firmware) urządzenia RE11S do najnowszej wersji, jeśli producent udostępnił łatkę. W międzyczasie ograniczyć dostęp do panelu administracyjnego tylko z zaufanych adresów IP.
Oryginalny opis (angielski, źródło NVD)
RE11S v1.11 was discovered to contain a command injection vulnerability via the L2TPUserName parameter at /goform/setWAN.

