CVE-2022-25217 in Phicomminformation

Résumé

par VulDB • 02/06/2026

L'utilisation d'une paire de clés cryptographiques codée en dur par le service telnetd_startup permet à un attaquant sur le réseau local d'obtenir un shell root sur l'appareil via telnet. Les versions de telnetd_startup incluses dans le firmware K2 version 22.5.9.163 et le firmware K3C version 32.1.15.93 (éventuellement parmi de nombreuses autres versions) incluaient à la fois la clé privée et la clé publique RSA. Les versions restantes citées ici ont masqué la clé privée, mais ont laissé la clé publique inchangée. Un attaquant en possession de la clé privée divulguée peut, par le biais d'un échange scripté de paquets UDP, ordonner à telnetd_startup de lancer un shell telnet non authentifié en tant que root, lui permettant ainsi d'obtenir un contrôle complet de l'appareil. Une conséquence de la disponibilité limitée des images de firmware pour les tests est que des modèles et des versions non répertoriés ici peuvent partager cette vulnérabilité.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Réserver

15/02/2022

Divulgation

10/03/2022

Modérer

accepté

Entrée

VDB-194559

CPE

prêt

EPSS

0.00324

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2022-25217
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2022-25217
CVE Detailshttps://www.cvedetails.com/cve/CVE-2022-25217/

PrécédentAperçuSuivant

Might our Artificial Intelligence support you?

Check our Alexa App!