CVE-2025-3539

Nome do Software Vulnerável e Versões Afetadas: H3C Magic NX15 versões até V100R014 H3C Magic NX30 Pro versões até V100R014 H3C Magic NX400 versões até V100R014 H3C Magic R3010 versões até V100R014 H3C Magic BE18000 versões até V100R014

Descrição: Uma vulnerabilidade crítica foi encontrada em dispositivos H3C Magic, afetando a função FCGI CheckStringIfContainsSemicolon do arquivo "/api/wizard/getBasicInfo" do componente HTTP POST Request Handler. Isso leva à injeção de comandos. O ataque só pode ser realizado dentro da rede local.

Recomendações: Para H3C Magic NX15 versões até V100R014, atualize o componente afetado para uma versão mais recente. Para H3C Magic NX30 Pro versões até V100R014, atualize o componente afetado para uma versão mais recente. Para H3C Magic NX400 versões até V100R014, atualize o componente afetado para uma versão mais recente. Para H3C Magic R3010 versões até V100R014, atualize o componente afetado para uma versão mais recente. Para H3C Magic BE18000 versões até V100R014, atualize o componente afetado para uma versão mais recente. Como solução temporária, considere desativar a função FCGI CheckStringIfContainsSemicolon até que uma correção esteja disponível. Restrinja o acesso ao endpoint da API "/api/wizard/getBasicInfo" para minimizar o risco de exploração.