Mono7S

Nome do Software Vulnerável e Versões Afetadas: H3C Magic NX15 versões até V100R014 H3C Magic NX30 Pro versões até V100R014 H3C Magic NX400 versões até V100R014 H3C Magic R3010 versões até V100R014 Descrição: Uma vulnerabilidade crítica foi encontrada em dispositivos da série H3C Magic NX, afetando a função `FCGI WizardProtoProcess` do arquivo `/api/wizard/setsyncpppoecfg` do componente HTTP POST Request Handler. A manipulação leva à injeção de comandos. É necessário acesso à rede local para este ataque. O exploit foi divulgado publicamente e pode ser utilizado. Recomendações: Para resolver o problema, atualize o componente afetado para uma versão posterior à V100R014 para cada um dos seguintes dispositivos: H3C Magic NX15 H3C Magic NX30 Pro H3C Magic NX400 H3C Magic R3010 Como solução alternativa temporária, considere restringir o acesso ao endpoint da API `/api/wizard/setsyncpppoecfg` e desativar a função `FCGI WizardProtoProcess` até que um patch esteja disponível.

Name of the Vulnerable Software and Affected Versions: H3C Magic NX15 versions up to V100R014 H3C Magic NX30 Pro versions up to V100R014 H3C Magic NX400 versions up to V100R014 H3C Magic R3010 versions up to V100R014 H3C Magic BE18000 versions up to V100R014 Description: A critical issue affects the function `FCGI CheckStringIfContainsSemicolon` of the file "/api/wizard/getCapabilityWeb" in the component HTTP POST Request Handler, leading to command injection. Access to the local network is required for this attack to succeed. The issue has been publicly disclosed. Recommendations: For H3C Magic NX15 versions up to V100R014, upgrade the affected component to a newer version. For H3C Magic NX30 Pro versions up to V100R014, upgrade the affected component to a newer version. For H3C Magic NX400 versions up to V100R014, upgrade the affected component to a newer version. For H3C Magic R3010 versions up to V100R014, upgrade the affected component to a newer version. For H3C Magic BE18000 versions up to V100R014, upgrade the affected component to a newer version.

Nome do Software Vulnerável e Versões Afetadas: H3C Magic NX15 versões até V100R014 H3C Magic NX30 Pro versões até V100R014 H3C Magic NX400 versões até V100R014 H3C Magic R3010 versões até V100R014 H3C Magic BE18000 versões até V100R014 Descrição: Foi identificada uma falha crítica em dispositivos de rede H3C, afetando a função `FCGI CheckStringIfContainsSemicolon` do componente `/api/wizard/setLanguage` no Manipulador de Requisições HTTP POST. Isso resulta em injeção de comandos. O ataque deve ser iniciado a partir da rede local. Recomendações: Para H3C Magic NX15 versões até V100R014, atualize o componente afetado. Para H3C Magic NX30 Pro versões até V100R014, atualize o componente afetado. Para H3C Magic NX400 versões até V100R014, atualize o componente afetado. Para H3C Magic R3010 versões até V100R014, atualize o componente afetado. Para H3C Magic BE18000 versões até V100R014, atualize o componente afetado. Como solução temporária, considere desativar a função `FCGI CheckStringIfContainsSemicolon` até que uma correção esteja disponível. Restrinja o acesso ao endpoint da API `/api/wizard/setLanguage` para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: H3C Magic NX15 versões até V100R014 H3C Magic NX30 Pro versões até V100R014 H3C Magic NX400 versões até V100R014 H3C Magic R3010 versões até V100R014 H3C Magic BE18000 versões até V100R014 Descrição: Foi identificado um problema crítico, afetando a função `FCGI CheckStringIfContainsSemicolon` do arquivo "/api/wizard/getLanguage" no componente Manipulador de Requisição HTTP POST. Isso resulta em injeção de comando. O ataque só pode ser realizado dentro da rede local. Recomendações: Para H3C Magic NX15 versões até V100R014, atualize o componente afetado. Para H3C Magic NX30 Pro versões até V100R014, atualize o componente afetado. Para H3C Magic NX400 versões até V100R014, atualize o componente afetado. Para H3C Magic R3010 versões até V100R014, atualize o componente afetado. Para H3C Magic BE18000 versões até V100R014, atualize o componente afetado. Como solução temporária, considere desativar a função `FCGI CheckStringIfContainsSemicolon` até que uma correção esteja disponível. Restrinja o acesso ao endpoint "/api/wizard/getLanguage" para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas: H3C Magic NX15 versões até a V100R014 H3C Magic NX400 versões até a V100R014 H3C Magic R3010 versões até a V100R014 Descrição: Uma falha crítica foi encontrada nos dispositivos afetados, a qual impacta a função `FCGI WizardProtoProcess` do endpoint da API `/api/wizard/getsyncpppoecfg` no componente Manipulador de Requisição HTTP POST. Isso resulta em injeção de comando. O ataque deve ser iniciado dentro da rede local. Recomendações: Para H3C Magic NX15 versões até a V100R014, atualize o componente afetado. Para H3C Magic NX400 versões até a V100R014, atualize o componente afetado. Para H3C Magic R3010 versões até a V100R014, atualize o componente afetado.

Nome do Software Vulnerável e Versões Afetadas: H3C Magic NX15 versões até V100R014 H3C Magic NX30 Pro versões até V100R014 H3C Magic NX400 versões até V100R014 H3C Magic R3010 versões até V100R014 Descrição: Uma vulnerabilidade crítica foi encontrada na série H3C Magic NX, afetando a função `FCGI WizardProtoProcess` do endpoint da API `/api/wizard/getCapability` no componente Manipulador de Requisições HTTP POST. Esta vulnerabilidade resulta em injeção de comandos. O ataque só pode ser iniciado dentro da rede local. Recomendações: Para H3C Magic NX15 versões até V100R014, atualize o componente afetado. Para H3C Magic NX30 Pro versões até V100R014, atualize o componente afetado. Para H3C Magic NX400 versões até V100R014, atualize o componente afetado. Para H3C Magic R3010 versões até V100R014, atualize o componente afetado. Como solução temporária, considere desativar a função `FCGI WizardProtoProcess` até que uma correção esteja disponível.

Nome do Software Vulnerável e Versões Afetadas: H3C Magic NX15, Magic NX30 Pro, Magic NX400 e Magic R3010 versões até a V100R014 Descrição: Foi identificada uma vulnerabilidade crítica nos dispositivos afetados, especificamente na função `FCGI WizardProtoProcess` do endpoint `/api/wizard/getSpecs` do componente HTTP POST Request Handler. Esta vulnerabilidade resulta em injeção de comandos. O ataque deve ser realizado na rede local. Recomendações: Para H3C Magic NX15, Magic NX30 Pro, Magic NX400 e Magic R3010 versões até a V100R014, recomenda-se atualizar o componente afetado para uma versão não afetada por este problema. Como medida paliativa temporária, considere desativar a função `FCGI WizardProtoProcess` até que uma correção esteja disponível. Restrinja o acesso ao endpoint `/api/wizard/getSpecs` para minimizar o risco de exploração.