| タイトル | H3C Technologies Co., Ltd. H3C Magic NX30 Pro \ Magic NX15 \ H3C NX400 \ H3C Magic R3010 <=V100R014 Command Injection |
|---|
| 説明 | In the `H3C Magic` home router series, including `H3C Magic NX30 Pro`, `Magic NX15`, `H3C NX400`, and `H3C Magic R3010`, an attacker can send a specially crafted `POST` request to the `/api/wizard/getSpecs` endpoint without authorization, exploiting command injection to gain a root shell on the router. |
|---|
| ソース | ⚠️ https://gist.github.com/mono7s/fcbc1f02d69547704cc9027b29e51c73 |
|---|
| ユーザー | mono7s (UID 83092) |
|---|
| 送信 | 2025年03月21日 15:01 (1 年 ago) |
|---|
| モデレーション | 2025年04月13日 14:28 (23 days later) |
|---|
| ステータス | 承諾済み |
|---|
| VulDBエントリ | 304580 [H3C Magic NX15/Magic NX30 Pro/Magic NX400/Magic R3010 迄 V100R014 HTTP POST Request /api/wizard/getSpecs FCGI_WizardProtoProcess 特権昇格] |
|---|
| ポイント | 17 |
|---|