Vagebondcur

**Nome do Software Vulnerável e Versões Afetadas** Nexxt Solutions NCM-X1800 Mesh Router versões UV1.2.7 e anteriores **Descrição** Existe uma vulnerabilidade de injeção de comando na funcionalidade de ping e traceroute da interface de gerenciamento web do Nexxt Solutions NCM-X1800 Mesh Router. A aplicação não sanitiza corretamente a entrada do usuário no parâmetro `Ping host text` antes de passá-la para o comando subjacente do sistema. Isso permite que atacantes autenticados injetem e executem comandos shell arbitrários como o usuário root através do endpoint `/web/um ping set.cgi`. **Recomendações** Versões anteriores à UV1.2.7 são afetadas. Atualize para a versão UV1.2.7 ou posterior para resolver este problema.

**Name of the Vulnerable Software and Affected Versions** Nexxt Solutions NCM-X1800 Mesh Router firmware versions prior to UV1.2.7 **Description** Nexxt Solutions NCM-X1800 Mesh Router firmware contains an authenticated command injection issue in the firmware update feature. The `/web/um fileName set.cgi` and `/web/um web upgrade.cgi` API endpoints do not properly sanitize the `upgradeFileName` parameter. This allows authenticated attackers to execute arbitrary OS commands on the device, potentially leading to remote code execution. **Recommendations** Update Nexxt Solutions NCM-X1800 Mesh Router firmware to version UV1.2.7 or later.