CVE-2025-3626
KrytyczneStreszczenie
Zdalny atakujący posiadający konto administratora może uzyskać pełną kontrolę nad urządzeniem z powodu niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach systemowych ('OS Command Injection') podczas przesyłania pliku konfiguracyjnego przez interfejs webowy.
Ocena ryzyka
Ryzyko dla organizacji polega na możliwości przejęcia kontroli nad urządzeniem przez nieautoryzowanych użytkowników, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Rekomendacja
Zaleca się wprowadzenie odpowiednich mechanizmów walidacji i sanitizacji danych przesyłanych przez interfejs webowy oraz ograniczenie dostępu do kont administratora tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
A remote attacker with administrator account can gain full control of the device due to improper neutralization of special elements used in an OS Command ('OS Command Injection') while uploading a config file via webUI.

