CVE-2025-9494 in Vitogate 300thông tin

Tóm tắt

Bởi VulDB • 28/05/2026

Một lỗ hổng tiêm lệnh hệ điều hành (OS command injection) đã được phát hiện trong Vitogate 300, có thể bị khai thác bởi người dùng độc hại để làm tổn hại đến các cài đặt bị ảnh hưởng. Cụ thể, điểm cuối `/cgi-bin/vitogate.cgi` bị ảnh hưởng khi tham số JSON `form` được đặt thành `form-0-2`. Lỗ hổng bắt nguồn từ việc hàm tại offset 0x21c24 không kiểm tra và làm sạch đầu vào được cung cấp một cách thích hợp trước khi nội suy nó vào một chuỗi định dạng, chuỗi này sau đó được chuyển đến `popen()`. Do đó, một kẻ tấn công đã xác thực có thể tiêm các lệnh OS tùy ý và do đó đạt được việc thực thi mã trên các thiết bị bị ảnh hưởng.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

chịu trách nhiệm

Carrier

Đặt trước

26/08/2025

Tiết lộ

23/09/2025

Kiểm duyệt

được chấp nhận

EPSS

0.00693

KEV

không

Các hoạt động

rất thấp

Nguồn

Want to know what is going to be exploited?

We predict KEV entries!