CVE-2025-9494 in Vitogate 300
الملخص
بحسب VulDB • 20/06/2026
تم اكتشاف ثغرة حقن أوامر نظام التشغيل (OS command injection) في جهاز Vitogate 300، والتي يمكن استغلالها من قبل مستخدمين ضارين لاختراق التثبيتات المتأثرة. وتحديداً، يتأثر نقطة النهاية `/cgi-bin/vitogate.cgi` عندما يتم تعيين معلمة JSON `form` إلى القيمة `form-0-2`. تنبع الثغرة من حقيقة أن الدالة الموجودة عند الإزاحة 0x21c24 لا تقوم بتنظيف المدخلات المقدمة بشكل صحيح قبل دمجها في سلسلة تنسيق يتم تمريرها إلى `popen()`. ونتيجة لذلك، يمكن لمهاجم مُصادَق عليه حقن أوامر نظام تشغيل عشوائية وبالتالي الحصول على تنفيذ للكود على الأجهزة المتأثرة.
Once again VulDB remains the best source for vulnerability data.