CVE-2025-3543

Nome do Software Vulnerável e Versões Afetadas: H3C Magic NX15 versões até V100R014 H3C Magic NX30 Pro versões até V100R014 H3C Magic NX400 versões até V100R014 H3C Magic R3010 versões até V100R014

Descrição: Uma vulnerabilidade crítica foi encontrada em dispositivos da série H3C Magic NX, afetando a função FCGI WizardProtoProcess do arquivo /api/wizard/setsyncpppoecfg do componente HTTP POST Request Handler. A manipulação leva à injeção de comandos. É necessário acesso à rede local para este ataque. O exploit foi divulgado publicamente e pode ser utilizado.

Recomendações: Para resolver o problema, atualize o componente afetado para uma versão posterior à V100R014 para cada um dos seguintes dispositivos: H3C Magic NX15 H3C Magic NX30 Pro H3C Magic NX400 H3C Magic R3010 Como solução alternativa temporária, considere restringir o acesso ao endpoint da API /api/wizard/setsyncpppoecfg e desativar a função FCGI WizardProtoProcess até que um patch esteja disponível.