CVE-2016-15048 in Hotel Broadband Operation System
要約
〜によって VulDB • 2026年06月05日
AMTT Hotel Broadband Operation System (HiBOS) の /manager/radius/server_ping.php エンドポイントには、認証不要のコマンドインジェクション脆弱性が存在します。アプリケーションはユーザー入力の ip パラメータを含むシェルコマンドを構築し、適切な検証やエスケープ処理を行わずに実行します。攻撃者は ip パラメータ内にシェルの特殊文字(metacharacters)を挿入することで、Web サーバーのユーザ権限で任意のシステムコマンドをインジェクションして実行することができます。2016年の第三者による初回開示では、修正ガイダンスのためにベンダーに連絡することが推奨されました。さらに、この製品は異なる名称でリブランディングされている可能性があります。VulnCheck は、この脆弱性が 2025-10-14 04:45:53.510819 UTC に実環境(in the wild)で悪用されているのを確認しています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.