CVE-2026-22313
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 56 — wyżej niż 56% wszystkich znanych CVE
Streszczenie
Urządzenie posiada serwer WWW, który udostępnia interfejs API REST, autoryzowany za pomocą tokena w sieci zarządzającej. Wykorzystując podatność na wstrzykiwanie poleceń systemowych, uwierzytelniony atakujący może wysyłać dowolne polecenia do urządzenia, które są wykonywane z uprawnieniami administracyjnymi przez system operacyjny.
Ocena ryzyka
Atakujący z dostępem do sieci zarządzającej może uzyskać pełną kontrolę nad urządzeniem, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Rekomendacja
Zaleca się zabezpieczenie interfejsu API poprzez wprowadzenie dodatkowych mechanizmów autoryzacji oraz regularne aktualizowanie oprogramowania urządzenia w celu eliminacji znanych podatności.
Oryginalny opis (angielski, źródło NVD)
The device has a webserver that exposes a REST API authenticated with a token on the management network. By exploiting an OS command injection vulnerability an authenticated attacker can send arbitrary commands to the device that are executed with administrative permissions by the underlying operating system.

