PT-2025-16191 · H3C · H3C Magic R3010+3
Mono7S
·
Publicado
2025-04-13
·
Atualizado
2025-04-17
·
CVE-2025-3541
CVSS v2.0
7.7
Alta
| Vetor | AV:A/AC:L/Au:S/C:C/I:C/A:C |
Nome do Software Vulnerável e Versões Afetadas:
H3C Magic NX15, Magic NX30 Pro, Magic NX400 e Magic R3010 versões até a V100R014
Descrição:
Foi identificada uma vulnerabilidade crítica nos dispositivos afetados, especificamente na função
FCGI WizardProtoProcess do endpoint /api/wizard/getSpecs do componente HTTP POST Request Handler. Esta vulnerabilidade resulta em injeção de comandos. O ataque deve ser realizado na rede local.Recomendações:
Para H3C Magic NX15, Magic NX30 Pro, Magic NX400 e Magic R3010 versões até a V100R014, recomenda-se atualizar o componente afetado para uma versão não afetada por este problema. Como medida paliativa temporária, considere desativar a função
FCGI WizardProtoProcess até que uma correção esteja disponível. Restrinja o acesso ao endpoint /api/wizard/getSpecs para minimizar o risco de exploração.Exploit
Correção
Special Elements Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
H3C Magic Nx15
H3C Magic Nx30 Pro
H3C Magic Nx400
H3C Magic R3010