Kutayakbas

**Nome do software vulnerável e versões afetadas** Roxy-WI (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de comando do sistema operacional na interface web do Roxy-WI para gerenciamento de servidores. Essa vulnerabilidade permite que qualquer usuário autenticado execute código arbitrário no servidor da aplicação web por meio da funcionalidade de varredura de portas. A entrada fornecida pelo usuário é utilizada sem validação ao construir e executar um comando do sistema operacional. Especificamente, a variável `ip`, que pode ser controlada pelo invasor, é usada ao construir as strings `cmd` e `cmd1` sem qualquer validação adicional. A função `server mod.subprocess execute` é chamada tanto em `cmd1` quanto em `cmd2`, o que resulta em injeção de comando do sistema operacional devido ao uso de `subprocess.Popen()` com `shell=True`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Recomenda-se que os usuários entrem em contato com a Roxy-WI para coordenar uma correção. Como solução alternativa temporária, considere restringir o acesso à funcionalidade de varredura de portas para minimizar o risco de exploração. Evite usar a variável `ip` no endpoint da API afetado até que o problema seja resolvido.