Katalog CVE

CVE-2025-40949

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.54%

Percentyl 41 — wyżej niż 41% wszystkich znanych CVE

Streszczenie

Podatność w RUGGEDCOM ROX pozwala uwierzytelnionemu zdalnie atakującemu na wstrzyknięcie komend do harmonogramu zadań przez interfejs WWW. Brak odpowiedniej sanityzacji danych wejściowych umożliwia wykonanie dowolnych poleceń z uprawnieniami roota.

Ocena ryzyka

Atakujący może przejąć pełną kontrolę nad urządzeniem, co prowadzi do naruszenia integralności, poufności i dostępności systemów przemysłowych.

Rekomendacja

Należy niezwłocznie zaktualizować oprogramowanie RUGGEDCOM ROX do wersji V2.17.1 lub nowszej. Ograniczyć dostęp do interfejsu WWW tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

A vulnerability has been identified in RUGGEDCOM ROX MX5000 (All versions < V2.17.1), RUGGEDCOM ROX MX5000RE (All versions < V2.17.1), RUGGEDCOM ROX RX1400 (All versions < V2.17.1), RUGGEDCOM ROX RX1500 (All versions < V2.17.1), RUGGEDCOM ROX RX1501 (All versions < V2.17.1), RUGGEDCOM ROX RX1510 (All versions < V2.17.1), RUGGEDCOM ROX RX1511 (All versions < V2.17.1), RUGGEDCOM ROX RX1512 (All versions < V2.17.1), RUGGEDCOM ROX RX1524 (All versions < V2.17.1), RUGGEDCOM ROX RX1536 (All versions < V2.17.1), RUGGEDCOM ROX RX5000 (All versions < V2.17.1). Affected devices do not properly sanitize user-supplied input in the Scheduler functionality of the Web UI, allowing commands to be injected into the task scheduling backend. This could allow an authenticated remote attacker to execute arbitrary commands with root privileges on the underlying operating system.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS