Katalog CVE

CVE-2025-64054

KrytyczneCVSS 9.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.37%

Percentyl 29 - wyżej niż 29% wszystkich znanych CVE

Streszczenie

W urządzeniach Fanvil x210 w wersji 2.12.20 wykryto podatność na odbite ataki Cross Site Scripting (XSS). Atakujący może wykorzystać spreparowane żądanie POST do punktu końcowego /cgi-bin/webconfig?page=upload&action=submit, co może prowadzić do odmowy usługi lub potencjalnego wykonania dowolnych poleceń.

Ocena ryzyka

Ryzyko dla organizacji obejmuje możliwość zdalnego wykonania kodu JavaScript w kontekście przeglądarki ofiary, co może skutkować kradzieżą sesji, przekierowaniem do złośliwych stron lub dalszymi atakami na infrastrukturę.

Rekomendacja

Zaleca się natychmiastową aktualizację oprogramowania sprzętowego urządzeń Fanvil x210 do najnowszej dostępnej wersji oraz ograniczenie dostępu do interfejsu zarządzania tylko do zaufanych sieci.

Oryginalny opis (angielski, źródło NVD)

A reflected Cross Site Scripting (XSS) vulnerability on Fanvil x210 2.12.20 devices allows attackers to cause a denial of service or potentially execute arbitrary commands via crafted POST request to the /cgi-bin/webconfig?page=upload&action=submit endpoint.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS