PT-2025-16190 · H3C · H3C Magic R3010+3
Mono7S
·
Publicado
2025-04-13
·
Atualizado
2025-04-17
·
CVE-2025-3540
CVSS v2.0
7.7
Alta
| Vetor | AV:A/AC:L/Au:S/C:C/I:C/A:C |
Nome do Software Vulnerável e Versões Afetadas:
H3C Magic NX15 versões até V100R014
H3C Magic NX30 Pro versões até V100R014
H3C Magic NX400 versões até V100R014
H3C Magic R3010 versões até V100R014
Descrição:
Uma vulnerabilidade crítica foi encontrada na série H3C Magic NX, afetando a função
FCGI WizardProtoProcess do endpoint da API /api/wizard/getCapability no componente Manipulador de Requisições HTTP POST. Esta vulnerabilidade resulta em injeção de comandos. O ataque só pode ser iniciado dentro da rede local.Recomendações:
Para H3C Magic NX15 versões até V100R014, atualize o componente afetado.
Para H3C Magic NX30 Pro versões até V100R014, atualize o componente afetado.
Para H3C Magic NX400 versões até V100R014, atualize o componente afetado.
Para H3C Magic R3010 versões até V100R014, atualize o componente afetado.
Como solução temporária, considere desativar a função
FCGI WizardProtoProcess até que uma correção esteja disponível.Exploit
Correção
Special Elements Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
H3C Magic Nx15
H3C Magic Nx30 Pro
H3C Magic Nx400
H3C Magic R3010