CVE-2025-3545

Nome do Software Vulnerável e Versões Afetadas: H3C Magic NX15 versões até V100R014 H3C Magic NX30 Pro versões até V100R014 H3C Magic NX400 versões até V100R014 H3C Magic R3010 versões até V100R014 H3C Magic BE18000 versões até V100R014

Descrição: Foi identificada uma falha crítica em dispositivos de rede H3C, afetando a função FCGI CheckStringIfContainsSemicolon do componente /api/wizard/setLanguage no Manipulador de Requisições HTTP POST. Isso resulta em injeção de comandos. O ataque deve ser iniciado a partir da rede local.

Recomendações: Para H3C Magic NX15 versões até V100R014, atualize o componente afetado. Para H3C Magic NX30 Pro versões até V100R014, atualize o componente afetado. Para H3C Magic NX400 versões até V100R014, atualize o componente afetado. Para H3C Magic R3010 versões até V100R014, atualize o componente afetado. Para H3C Magic BE18000 versões até V100R014, atualize o componente afetado. Como solução temporária, considere desativar a função FCGI CheckStringIfContainsSemicolon até que uma correção esteja disponível. Restrinja o acesso ao endpoint da API /api/wizard/setLanguage para minimizar o risco de exploração.