CVE-2026-32833
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 68 — wyżej niż 68% wszystkich znanych CVE
Streszczenie
W urządzeniu Cudy LT300 w wersji oprogramowania starszej niż 2.5.12 występuje podatność na wstrzykiwanie poleceń systemu operacyjnego. Uwierzytelniony atakujący może wysłać złośliwe dane do parametru cbid.system.ntp.current w interfejsie konfiguracji czasu systemowego, co pozwala na zdalne wykonanie dowolnych poleceń.
Ocena ryzyka
Ryzyko polega na możliwości przejęcia pełnej kontroli nad urządzeniem przez uwierzytelnionego atakującego, co może prowadzić do naruszenia integralności sieci, kradzieży danych lub wykorzystania urządzenia jako punktu wyjścia do dalszych ataków.
Rekomendacja
Należy niezwłocznie zaktualizować oprogramowanie urządzenia Cudy LT300 do wersji 2.5.12 lub nowszej. Jeśli aktualizacja nie jest możliwa, ogranicz dostęp do interfejsu zarządzania tylko do zaufanych adresów IP.
Oryginalny opis (angielski, źródło NVD)
Cudy LT300 3.0 running firmware prior to version 2.5.12 contains an OS command injection vulnerability that allows authenticated attackers to execute arbitrary commands by injecting shell metacharacters into the cbid.system.ntp.current POST parameter in the system time configuration interface. Attackers can submit malicious payloads through the NTP settings endpoint to achieve remote code execution on the underlying system.

