CVE-2026-10828
ŚrednieCVSS 6.9Streszczenie
Wykryto podatność typu format string w parametrze 'alias' na stronie konfiguracyjnej Serial Param w urządzeniach NPort W2150A-W4/W2250A-W4 w wersji 1.5 i wcześniejszych. Problem wynika z niewystarczającej walidacji danych wejściowych oraz niewłaściwego przetwarzania zewnętrznych ciągów formatu.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do ujawnienia wrażliwych danych w pamięci oraz określenia krytycznych adresów pamięci, co może prowadzić do obejścia zabezpieczeń ASLR.
Rekomendacja
Zaleca się aktualizację urządzeń do najnowszej wersji oprogramowania, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających walidację danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
A format string vulnerability has been found in the "alias" parameter of the Serial Param configuration page in the NPort W2150A-W4/W2250A-W4 Series version 1.5 and prior. This vulnerability stems from insufficient input validation and improper handling of externally supplied format strings. An attacker could exploit this vulnerability by sending crafted input to the web service, causing unintended memory disclosure. Successful exploitation may allow an attacker to leak sensitive memory contents and determine critical memory addresses, potentially bypassing Address Space Layout Randomization (ASLR) protections.

