Katalog CVE

CVE-2026-38703

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W funkcji VPN ZeroTier w oprogramowaniu układowym InHand Networks IR302 w wersji V3.5.108, IR305 w wersji V1.0.118, IR315 w wersji V1.0.118, IR615 w wersji V1.0.118 oraz wcześniejszych wersjach występuje podatność na wstrzykiwanie poleceń. Atakujący mogą wykorzystać tę podatność, aby uzyskać uprawnienia ROOT na zdalnych urządzeniach docelowych.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do pełnej kontroli nad zdalnymi urządzeniami, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Potencjalni atakujący mogą uzyskać dostęp do wrażliwych danych i zasobów.

Rekomendacja

Zaleca się aktualizację oprogramowania układowego do najnowszej wersji, która usuwa tę podatność. Należy również monitorować urządzenia pod kątem nieautoryzowanych działań oraz wdrożyć dodatkowe środki zabezpieczające.

Oryginalny opis (angielski, źródło NVD)

A command injection vulnerability exists in the ZeroTier VPN feature of InHand Networks IR302 firmware V3.5.108, IR305 firmware V1.0.118, IR315 firmware V1.0.118, IR615 firmware V1.0.118, and earlier versions. Attackers can exploit this vulnerability to obtain ROOT privileges on remote target devices.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS