PT-2025-16187 · H3C · H3C Magic Nx30 Pro+4
Mono7S
·
Publicado
2025-04-13
·
Atualizado
2026-02-10
·
CVE-2025-3546
CVSS v4.0
8.6
Alta
| Vetor | AV:A/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas:
H3C Magic NX15 versões até V100R014
H3C Magic NX30 Pro versões até V100R014
H3C Magic NX400 versões até V100R014
H3C Magic R3010 versões até V100R014
H3C Magic BE18000 versões até V100R014
Descrição:
Foi identificado um problema crítico, afetando a função
FCGI CheckStringIfContainsSemicolon do arquivo "/api/wizard/getLanguage" no componente Manipulador de Requisição HTTP POST. Isso resulta em injeção de comando. O ataque só pode ser realizado dentro da rede local.Recomendações:
Para H3C Magic NX15 versões até V100R014, atualize o componente afetado.
Para H3C Magic NX30 Pro versões até V100R014, atualize o componente afetado.
Para H3C Magic NX400 versões até V100R014, atualize o componente afetado.
Para H3C Magic R3010 versões até V100R014, atualize o componente afetado.
Para H3C Magic BE18000 versões até V100R014, atualize o componente afetado.
Como solução temporária, considere desativar a função
FCGI CheckStringIfContainsSemicolon até que uma correção esteja disponível.
Restrinja o acesso ao endpoint "/api/wizard/getLanguage" para minimizar o risco de exploração.Exploit
Correção
Special Elements Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
H3C Magic Be18000
H3C Magic Nx15
H3C Magic Nx30 Pro
H3C Magic Nx400
H3C Magic R3010