CVE-2025-57105
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Wysokie ryzykoPercentyl 85 - wyżej niż 85% wszystkich znanych CVE
Streszczenie
Router DI-7400G+ zawiera podatność na wstrzykiwanie poleceń w funkcjach sub_478D28 i sub_4A12DC programu jhttpd, umożliwiającą atakującemu wykonanie dowolnych poleceń na urządzeniu poprzez parametr ac_mng_srv_host.
Ocena ryzyka
Atakujący może przejąć pełną kontrolę nad routerem, co prowadzi do naruszenia poufności i integralności sieci oraz potencjalnego wykorzystania urządzenia jako punktu wejścia do dalszych ataków.
Rekomendacja
Należy natychmiast zaktualizować oprogramowanie routera do najnowszej wersji oraz ograniczyć dostęp do interfejsu zarządzania tylko do zaufanych adresów IP.
Oryginalny opis (angielski, źródło NVD)
The DI-7400G+ router has a command injection vulnerability, which allows attackers to execute arbitrary commands on the device. The sub_478D28 function in in mng_platform.asp, and sub_4A12DC function in wayos_ac_server.asp of the jhttpd program, with the parameter ac_mng_srv_host.

