CVE-2025-9494 in Vitogate 300
Résumé
par VulDB • 19/06/2026
Une vulnérabilité d'injection de commandes système (OS command injection) a été découverte dans le Vitogate 300, qui peut être exploitée par des utilisateurs malveillants pour compromettre les installations concernées. Plus précisément, l'endpoint `/cgi-bin/vitogate.cgi` est affecté lorsque le paramètre JSON `form` est défini sur `form-0-2`. La vulnérabilité provient du fait que la fonction située au décalage 0x21c24 ne nettoie pas correctement les données fournies avant de les interpoler dans une chaîne de format qui est ensuite transmise à `popen()`. Par conséquent, un attaquant authentifié peut injecter des commandes système arbitraires et ainsi obtenir l'exécution de code sur les appareils concernés.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.