CVE-2025-9494 in Vitogate 300
Tóm tắt
Bởi VulDB • 28/05/2026
Một lỗ hổng tiêm lệnh hệ điều hành (OS command injection) đã được phát hiện trong Vitogate 300, có thể bị khai thác bởi người dùng độc hại để làm tổn hại đến các cài đặt bị ảnh hưởng. Cụ thể, điểm cuối `/cgi-bin/vitogate.cgi` bị ảnh hưởng khi tham số JSON `form` được đặt thành `form-0-2`. Lỗ hổng bắt nguồn từ việc hàm tại offset 0x21c24 không kiểm tra và làm sạch đầu vào được cung cấp một cách thích hợp trước khi nội suy nó vào một chuỗi định dạng, chuỗi này sau đó được chuyển đến `popen()`. Do đó, một kẻ tấn công đã xác thực có thể tiêm các lệnh OS tùy ý và do đó đạt được việc thực thi mã trên các thiết bị bị ảnh hưởng.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.