CVE-2026-2249
KrytyczneStreszczenie
Urządzenia METIS DFS (wersje <= oscore 2.1.234-r18) udostępniają interfejs webowy na końcówce /console, który nie wymaga uwierzytelnienia. Uzyskanie dostępu do tej końcówki pozwala zdalnemu atakującemu na wykonywanie dowolnych poleceń systemowych z uprawnieniami 'daemon'.
Ocena ryzyka
To prowadzi do kompromitacji oprogramowania, co umożliwia nieautoryzowany dostęp do modyfikacji konfiguracji, odczytu i zmiany wrażliwych danych oraz zakłócania usług.
Rekomendacja
Zaleca się aktualizację urządzeń METIS DFS do wersji, która nie jest podatna na tę lukę oraz wdrożenie odpowiednich środków zabezpieczających, aby ograniczyć dostęp do interfejsu /console.
Oryginalny opis (angielski, źródło NVD)
METIS DFS devices (versions <= oscore 2.1.234-r18) expose a web-based shell at the /console endpoint that does not require authentication. Accessing this endpoint allows a remote attacker to execute arbitrary operating system commands with 'daemon' privileges. This results in the compromise of the software, granting unauthorized access to modify configuration, read and alter sensitive data, or disrupt services.

