Katalog CVE

CVE-2025-3626

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Zdalny atakujący posiadający konto administratora może uzyskać pełną kontrolę nad urządzeniem z powodu niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach systemowych ('OS Command Injection') podczas przesyłania pliku konfiguracyjnego przez interfejs webowy.

Ocena ryzyka

Ryzyko dla organizacji polega na możliwości przejęcia kontroli nad urządzeniem przez nieautoryzowanych użytkowników, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się wprowadzenie odpowiednich mechanizmów walidacji i sanitizacji danych przesyłanych przez interfejs webowy oraz ograniczenie dostępu do kont administratora tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

A remote attacker with administrator account can gain full control of the device due to improper neutralization of special elements used in an OS Command ('OS Command Injection') while uploading a config file via webUI.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS