提出 #524739: H3C Technologies Co., Ltd. H3C Magic NX30 Pro \ Magic NX15 \ H3C NX400 \ H3C Magic R3010 <=V100R014 Command Injection情報

タイトルH3C Technologies Co., Ltd. H3C Magic NX30 Pro \ Magic NX15 \ H3C NX400 \ H3C Magic R3010 <=V100R014 Command Injection
説明In the `H3C Magic` home router series, including `H3C Magic NX30 Pro`, `Magic NX15`, `H3C NX400`, and `H3C Magic R3010`, an attacker can send a specially crafted `POST` request to the `/api/wizard/setsyncpppoecfg` endpoint without authorization, exploiting command injection to gain a root shell on the router.
ソース⚠️ https://gist.github.com/mono7s/9369a3ef060b5655303cd234ba583bb5
ユーザー
 mono7s (UID 83092)
送信2025年03月21日 15:07 (1 年 ago)
モデレーション2025年04月13日 14:28 (23 days later)
ステータス承諾済み
VulDBエントリ304582 [H3C Magic NX15/Magic NX30 Pro/Magic NX400/Magic R3010 迄 V100R014 HTTP POST Request setsyncpppoecfg FCGI_WizardProtoProcess 特権昇格]
ポイント18

概要

Want to know what is going to be exploited?

We predict KEV entries!