PT-2025-16192 · H3C · H3C Magic R3010+2
Mono7S
·
Publicado
2025-04-13
·
Atualizado
2025-04-19
·
CVE-2025-3542
CVSS v2.0
7.7
Alta
| Vetor | AV:A/AC:L/Au:S/C:C/I:C/A:C |
Nome do Software Vulnerável e Versões Afetadas:
H3C Magic NX15 versões até a V100R014
H3C Magic NX400 versões até a V100R014
H3C Magic R3010 versões até a V100R014
Descrição:
Uma falha crítica foi encontrada nos dispositivos afetados, a qual impacta a função
FCGI WizardProtoProcess do endpoint da API /api/wizard/getsyncpppoecfg no componente Manipulador de Requisição HTTP POST. Isso resulta em injeção de comando. O ataque deve ser iniciado dentro da rede local.Recomendações:
Para H3C Magic NX15 versões até a V100R014, atualize o componente afetado.
Para H3C Magic NX400 versões até a V100R014, atualize o componente afetado.
Para H3C Magic R3010 versões até a V100R014, atualize o componente afetado.
Exploit
Correção
Special Elements Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
H3C Magic Nx15
H3C Magic Nx400
H3C Magic R3010