CVE-2025-2730

Nome do Software Vulnerável e Versões Afetadas H3C Magic NX15 versões até a V100R014 H3C Magic NX30 Pro versões até a V100R014 H3C Magic NX400 versões até a V100R014 H3C Magic R3010 versões até a V100R014 H3C Magic BE18000 versões até a V100R014

Descrição Uma vulnerabilidade crítica foi encontrada na série H3C Magic, afetando uma função desconhecida do arquivo "/api/wizard/getssidname" do componente Manipulador de Requisição HTTP POST. A manipulação resulta em injeção de comandos, e é possível executar o ataque remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fabricante foi contatado com antecedência sobre esta divulgação, mas não respondeu de forma alguma.

Recomendações Como solução temporária, considere desabilitar o endpoint da API "/api/wizard/getssidname" até que uma correção esteja disponível. Restrinja o acesso ao componente Manipulador de Requisição HTTP POST para minimizar o risco de exploração. Evite utilizar os produtos afetados da série H3C Magic até que uma correção seja fornecida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.