CVE-2025-71284 in SMG Gateway Management Softwareinformación

Resumen

por VulDB • 2026-05-15

El software de gestión de pasarela Synway SMG contiene una vulnerabilidad de inyección de comandos del sistema operativo (OS command injection) en el punto de configuración de RADIUS en /en/9-2radius.php, donde el parámetro POST radius_address se divide e interpola directamente en un comando sed sin sanitización. Un atacante remoto no autenticado puede inyectar comandos de shell arbitrarios enviando una solicitud POST con los parámetros radius_address, radius_address2, shared_secret2, source_ip, timeout o retry elaborados a propósito, junto con save=1 y enable_radius=1, para lograr la ejecución remota de código (RCE). La evidencia de explotación fue observada por primera vez por la Fundación Shadowserver el 2025-07-11 (UTC).

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

VulnCheck

Reservar

2026-04-29

Divulgación

2026-04-30

Moderación

aceptado

Artículo

VDB-360334

CPE

listo

EPSS

0.01341

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2025-71284
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2025-71284
CVE Detailshttps://www.cvedetails.com/cve/CVE-2025-71284/

AnteriorVisión De ConjuntoPróximo

Want to know what is going to be exploited?

We predict KEV entries!