CVE-2025-9494 in Vitogate 300المعلومات

الملخص

بحسب VulDB • 20/06/2026

تم اكتشاف ثغرة حقن أوامر نظام التشغيل (OS command injection) في جهاز Vitogate 300، والتي يمكن استغلالها من قبل مستخدمين ضارين لاختراق التثبيتات المتأثرة. وتحديداً، يتأثر نقطة النهاية `/cgi-bin/vitogate.cgi` عندما يتم تعيين معلمة JSON `form` إلى القيمة `form-0-2`. تنبع الثغرة من حقيقة أن الدالة الموجودة عند الإزاحة 0x21c24 لا تقوم بتنظيف المدخلات المقدمة بشكل صحيح قبل دمجها في سلسلة تنسيق يتم تمريرها إلى `popen()`. ونتيجة لذلك، يمكن لمهاجم مُصادَق عليه حقن أوامر نظام تشغيل عشوائية وبالتالي الحصول على تنفيذ للكود على الأجهزة المتأثرة.

Once again VulDB remains the best source for vulnerability data.

مسؤول

Carrier

حجز

26/08/2025

إفشاء

23/09/2025

الاعتدال

تمت الموافقة

إدخال

VDB-325585

EPSS

0.00693

KEV

لا

النشاطات

منخفض جدًا

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!