CVE-2025-67035
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 27 - wyżej niż 27% wszystkich znanych CVE
Streszczenie
W urządzeniach Lantronix EDS5000 w wersji 2.1.0.0R3 wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego w stronach klienta i serwera SSH. Brak sanityzacji parametrów wejściowych umożliwia atakującemu wstrzyknięcie dowolnych poleceń podczas usuwania obiektów takich jak klucze serwera, użytkownicy czy znane hosty. Polecenia są wykonywane z uprawnieniami roota.
Ocena ryzyka
Atakujący może zdalnie przejąć pełną kontrolę nad urządzeniem, co prowadzi do naruszenia poufności, integralności i dostępności sieci oraz potencjalnego wykorzystania urządzenia jako punktu wejścia do dalszych ataków.
Rekomendacja
Należy natychmiast zaktualizować oprogramowanie sprzętowe Lantronix EDS5000 do najnowszej wersji łatającej tę podatność. Do czasu aktualizacji ograniczyć dostęp do interfejsu zarządzania tylko do zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
An issue was discovered in Lantronix EDS5000 2.1.0.0R3. The SSH Client and SSH Server pages are affected by multiple OS injection vulnerabilities due to missing sanitization of input parameters. An attacker can inject arbitrary commands in delete actions of various objects, such as server keys, users, and known hosts. Commands are executed with root privileges.

