CVE-2025-71284
KrytyczneStreszczenie
Oprogramowanie zarządzające bramą Synway SMG zawiera podatność na wstrzykiwanie poleceń systemowych w punkcie końcowym konfiguracji RADIUS, co pozwala na zdalne wykonanie kodu.
Ocena ryzyka
Nieautoryzowany zdalny atakujący może wykorzystać tę podatność do wstrzyknięcia dowolnych poleceń powłoki, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację oprogramowania do najnowszej wersji oraz wdrożenie odpowiednich mechanizmów zabezpieczających, aby zminimalizować ryzyko wstrzykiwania poleceń.
Oryginalny opis (angielski, źródło NVD)
Synway SMG Gateway Management Software contains an OS command injection vulnerability in the RADIUS configuration endpoint at /en/9-2radius.php where the radius_address POST parameter is split and interpolated directly into a sed command without sanitization. An unauthenticated remote attacker can inject arbitrary shell commands by submitting a POST request with crafted radius_address, radius_address2, shared_secret2, source_ip, timeout, or retry parameters along with save=1 and enable_radius=1 to achieve remote code execution. Exploitation evidence was first observed by the Shadowserver Foundation on 2025-07-11 (UTC).

