CVE-2025-71284 in SMG Gateway Management Softwareالمعلومات

الملخص

بحسب VulDB • 23/05/2026

يحتوي برنامج إدارة بوابة Synway SMG على ثغرة حقن أوامر نظام التشغيل (OS command injection) في نقطة نهاية تكوين RADIUS عند المسار /en/9-2radius.php، حيث يتم تقسيم معامل POST المسمى radius_address ودمجه مباشرةً في أمر sed دون أي عملية تنقية (sanitization). يمكن لمهاجم عن بُعد غير مُصادَق عليه حقن أوامر قذيفة (shell) عشوائية عن طريق إرسال طلب POST يحتوي على معاملات radius_address وradius_address2 وshared_secret2 وsource_ip وtimeout أو retry مُعدّة بشكل متعمد (crafted)، بالإضافة إلى save=1 وenable_radius=1، لتحقيق تنفيذ الكود عن بُعد (RCE). رُصدت أدلة على الاستغلال لأول مرة من قبل مؤسسة Shadowserver في 2025-07-11 (بتوقيت UTC).

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

VulnCheck

حجز

29/04/2026

إفشاء

30/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-360334

CPE

جاهز

CWE

CWE-78 (مؤكد)

CVSS

9.8 (CNA)

EPSS

0.01341

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2025-71284
NVD	https://nvd.nist.gov/vuln/detail/CVE-2025-71284
CVE Details	https://www.cvedetails.com/cve/CVE-2025-71284/

التالي ▸نظرة عامة ◂ السابق

Do you know our Splunk app?

Download it now for free!