CVE-2025-2726

Nome do Software Vulnerável e Versões Afetadas H3C Magic NX15 versões até V100R014 H3C Magic NX30 Pro versões até V100R014 H3C Magic NX400 versões até V100R014 H3C Magic R3010 versões até V100R014 H3C Magic BE18000 versões até V100R014

Descrição Um problema crítico afeta alguma funcionalidade desconhecida do arquivo /api/esps do componente Manipulador de Requisição HTTP POST, levando à injeção de comando. O ataque pode ser lançado remotamente. O exploit foi divulgado ao público e pode ser utilizado. O fabricante foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma.

Recomendações Para H3C Magic NX15 versões até V100R014, considere desativar o endpoint /api/esps no Manipulador de Requisição HTTP POST até que um patch esteja disponível. Para H3C Magic NX30 Pro versões até V100R014, restrinja o acesso ao endpoint /api/esps no Manipulador de Requisição HTTP POST para minimizar o risco de exploração. Para H3C Magic NX400 versões até V100R014, evite utilizar o endpoint /api/esps no Manipulador de Requisição HTTP POST até que o problema seja resolvido. Para H3C Magic R3010 versões até V100R014, considere implementar medidas de segurança adicionais para prevenir injeção de comando remota. Para H3C Magic BE18000 versões até V100R014, desative temporariamente o Manipulador de Requisição HTTP POST até que uma correção esteja disponível.