CVE-2025-2731

Nome do Software Vulnerável e Versões Afetadas H3C Magic NX15 versões até V100R014 H3C Magic NX30 Pro versões até V100R014 H3C Magic NX400 versões até V100R014 H3C Magic R3010 versões até V100R014 H3C Magic BE18000 versões até V100R014

Descrição Uma vulnerabilidade crítica foi identificada na série H3C Magic, afetando uma funcionalidade desconhecida do arquivo "/api/wizard/getDualbandSync" do componente Manipulador de Requisições HTTP POST. A manipulação resulta em injeção de comandos. O ataque pode ser executado remotamente. O exploit foi divulgado publicamente e pode ser utilizado. O fabricante foi contatado antecipadamente sobre esta divulgação, mas não respondeu de nenhuma forma.

Recomendações Para H3C Magic NX15 versões até V100R014, considere desativar o endpoint da API /api/wizard/getDualbandSync até que um patch esteja disponível. Para H3C Magic NX30 Pro versões até V100R014, considere desativar o endpoint da API /api/wizard/getDualbandSync até que um patch esteja disponível. Para H3C Magic NX400 versões até V100R014, considere desativar o endpoint da API /api/wizard/getDualbandSync até que um patch esteja disponível. Para H3C Magic R3010 versões até V100R014, considere desativar o endpoint da API /api/wizard/getDualbandSync até que um patch esteja disponível. Para H3C Magic BE18000 versões até V100R014, considere desativar o endpoint da API /api/wizard/getDualbandSync até que um patch esteja disponível. Como medida de contorno temporária, restrinja o acesso ao componente Manipulador de Requisições HTTP POST para minimizar o risco de exploração.