CVE-2022-25217 in Phicomminformazioni

Riassunto

di VulDB • 16/06/2026

L'uso di una coppia di chiavi crittografiche hardcoded dal servizio telnetd_startup consente a un attaccante sulla rete locale di ottenere una shell root sul dispositivo tramite telnet. Le build di telnetd_startup incluse nella versione 22.5.9.163 del firmware K2 e nella versione 32.1.15.93 del firmware K3C (probabilmente tra molte altre release) includevano sia la chiave privata che quella pubblica RSA. Le versioni rimanenti citate qui hanno oscurato la chiave privata, ma hanno lasciato invariata la chiave pubblica. Un attaccante in possesso della chiave privata trapelata può, tramite uno scambio scriptato di pacchetti UDP, istruire telnetd_startup a generare una shell telnet non autenticata come root, tramite la quale può quindi ottenere il controllo completo del dispositivo. Una conseguenza della limitata disponibilità delle immagini firmware per i test è che modelli e versioni non elencati qui potrebbero condividere questa vulnerabilità.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Prenotare

15/02/2022

Divulgazione

10/03/2022

Moderazione

accettato

Voce

VDB-194559

CPE

pronto

CWE

CWE-321 (confermato)

CVSS

7.5 (VulDB)

EPSS

0.00324

KEV

Attività

molto basso

Fonti

MITRE	https://www.cve.org/CVERecord?id=CVE-2022-25217
NVD	https://nvd.nist.gov/vuln/detail/CVE-2022-25217
CVE Details	https://www.cvedetails.com/cve/CVE-2022-25217/

◂ Precedente Visione D'ensemble Il prossimo ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!