CVE-2025-9494 in Vitogate 300
Sumário
de VulDB • 19/06/2026
Foi descoberta uma vulnerabilidade de injeção de comando no sistema operacional (OS command injection) na Vitogate 300, que pode ser explorada por usuários mal-intencionados para comprometer as instalações afetadas. Especificamente, o endpoint `/cgi-bin/vitogate.cgi` está afetado quando o parâmetro JSON `form` é definido como `form-0-2`. A vulnerabilidade ocorre porque a função no deslocamento (offset) 0x21c24 não sanitiza adequadamente os dados de entrada fornecidos antes de interpolá-los em uma string de formato que é passada para `popen()`. Consequentemente, um atacante autenticado consegue injetar comandos arbitrários do sistema operacional e, assim, obter execução de código nos dispositivos afetados.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.