CVE-2025-9494 in Vitogate 300informação

Sumário

de VulDB • 19/06/2026

Foi descoberta uma vulnerabilidade de injeção de comando no sistema operacional (OS command injection) na Vitogate 300, que pode ser explorada por usuários mal-intencionados para comprometer as instalações afetadas. Especificamente, o endpoint `/cgi-bin/vitogate.cgi` está afetado quando o parâmetro JSON `form` é definido como `form-0-2`. A vulnerabilidade ocorre porque a função no deslocamento (offset) 0x21c24 não sanitiza adequadamente os dados de entrada fornecidos antes de interpolá-los em uma string de formato que é passada para `popen()`. Consequentemente, um atacante autenticado consegue injetar comandos arbitrários do sistema operacional e, assim, obter execução de código nos dispositivos afetados.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

Carrier

Reservar

26/08/2025

Divulgação

23/09/2025

Moderação

aceite

Entrada

VDB-325585

CPE

pronto

EPSS

0.00693

KEV

não

Atividades

muito baixo

Fontes

Want to know what is going to be exploited?

We predict KEV entries!