UGREEN DH2100+ до 5.3.0.251125 nas_svr /v1/file/backup/create handler_file_backup_create path эскалация привилегий
Сводка
Зафиксирована уязвимость, классифицируемая как критический, в UGREEN DH2100+ до 5.3.0.251125. Неизвестная функция файла /v1/file/backup/create компонента nas_svr вовлечена. Выполнение манипуляции с аргументом path приводит к эскалация привилегий. Эта уязвимость проходит под номером CVE-2025-14188. Атаку можно инициировать удаленно. Более того, эксплойт доступен. Рекомендуется выполнить обновление уязвимого компонента.
Подробности
Зафиксирована уязвимость, классифицируемая как критический, в UGREEN DH2100+ до 5.3.0.251125. Неизвестная функция файла /v1/file/backup/create компонента nas_svr вовлечена. Выполнение манипуляции с аргументом path приводит к эскалация привилегий. Указание проблемы через CWE ведет к CWE-77. Данная уязвимость была опубликована. Консультация представлена на сайте notion.so.
Эта уязвимость проходит под номером CVE-2025-14188. Атаку можно инициировать удаленно. Технические детали доступны. Данная уязвимость менее популярна, чем в среднем. Более того, эксплойт доступен. Эксплойт стал общедоступным и может быть использован. На текущий момент стоимость эксплойта может быть примерно USD $0-$5k. Проект MITRE ATT&CK использует технику атаки T1202 для этой проблемы.
Это объявлено как Доказательство концепции. Эксплойт доступен для загрузки по адресу notion.so.
Рекомендуется выполнить обновление уязвимого компонента.
Продукт
Поставщик
Имя
Версия
CPE 2.3
CPE 2.2
CVSSv4
VulDB Вектор: 🔒VulDB Надёжность: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Вектор: 🔒
CVSSv3
VulDB Meta Base Score: 7.2VulDB Meta Temp Score: 6.8
VulDB Базовый балл: 7.2
VulDB Временная оценка: 6.5
VulDB Вектор: 🔒
VulDB Надёжность: 🔍
CNA Базовый балл: 7.2
CNA Вектор: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Вектор | Сложность | Аутентификация | Конфиденциальность | Целостность | Доступность |
|---|---|---|---|---|---|
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
| Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
VulDB Базовый балл: 🔒
VulDB Временная оценка: 🔒
VulDB Надёжность: 🔍
Эксплуатация
Класс: эскалация привилегийCWE: CWE-77 / CWE-74 / CWE-707
CAPEC: 🔒
ATT&CK: 🔒
Физический: Нет
Локальный: Нет
Удалённый: Да
Доступность: 🔒
Доступ: публичный
Статус: Доказательство концепции
Скачать: 🔒
EPSS Score: 🔒
EPSS Percentile: 🔒
Прогноз цен: 🔍
Оценка текущей цены: 🔒
| 0-Day | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
|---|---|---|---|---|
| Сегодня | Разблокировать | Разблокировать | Разблокировать | Разблокировать |
Разведка угроз
Интерес: 🔍Активные акторы: 🔍
Активные группы APT: 🔍
Контрмеры
Рекомендация: ОбновлениеСтатус: 🔍
0-дневное время: 🔒
Хронология
28.11.2025 Контрмера опубликована06.12.2025 Консультация опубликована
06.12.2025 Запись VulDB создана
28.01.2026 Последнее обновление VulDB
Источники
Консультация: notion.soСтатус: Подтверждённый
CVE: CVE-2025-14188 (🔒)
GCVE (CVE): GCVE-0-2025-14188
GCVE (VulDB): GCVE-100-334608
EUVD: 🔒
CNNVD: CNNVD-202512-827 - UGREEN DH2100+ 命令注入漏洞
scip Labs: https://www.scip.ch/en/?labs.20161013
Вход
Создано: 06.12.2025 15:20Обновлено: 28.01.2026 09:44
Изменения: 06.12.2025 15:20 (58), 07.12.2025 12:21 (31), 07.12.2025 15:25 (1), 09.12.2025 05:13 (6), 28.01.2026 07:52 (10), 28.01.2026 09:44 (1)
Завершенный: 🔍
Cache ID: 216::103
Отправить
принято
- Отправить #698833: UGREEN DH2100+ NAS V4.2.0.601 Remote Command Execution (по notion.so)
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Комментариев пока нет. Языки: ru + be + en.
Пожалуйста, войдите в систему, чтобы прокомментировать.