Katalog CVE

CVE-2025-67041

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.35%

Percentyl 27 - wyżej niż 27% wszystkich znanych CVE

Streszczenie

W urządzeniu Lantronix EDS3000PS w wersji 3.1.0.0R2 odkryto podatność polegającą na braku odpowiedniego oczyszczania parametru hosta w kliencie TFTP na stronie Filesystem Browser. Można to wykorzystać do wyjścia z oryginalnego polecenia i wykonania dowolnego polecenia z uprawnieniami roota.

Ocena ryzyka

Atakujący może zdalnie wykonać dowolne polecenia z najwyższymi uprawnieniami, co prowadzi do pełnego przejęcia urządzenia i potencjalnego naruszenia bezpieczeństwa sieci.

Rekomendacja

Należy natychmiast zaktualizować oprogramowanie urządzenia do najnowszej wersji, która usuwa tę podatność, oraz ograniczyć dostęp do interfejsu zarządzania tylko do zaufanych sieci.

Oryginalny opis (angielski, źródło NVD)

An issue was discovered in Lantronix EDS3000PS 3.1.0.0R2. The host parameter of the TFTP client in the Filesystem Browser page is not properly sanitized. This can be exploited to escape from the original command and execute an arbitrary one with root privileges.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS