PT-2025-22309 · Linksys · Linksys Fgw3000-Ah+1
Ch13Hh
·
Publicado
2025-04-26
·
Atualizado
2025-06-12
·
CVE-2025-4999
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Linksys FGW3000-AH e FGW3000-HK versões até 1.0.17.000000
Descrição
Foi identificado um problema crítico, afetando a função
sub 4153FC do arquivo /cgi-bin/sysconf.cgi no componente Manipulador de Requisições HTTP POST. A manipulação do argumento supplicant rnd id en leva à injeção de comando. Este problema pode ser explorado remotamente.Recomendações
Para versões até 1.0.17.000000, como uma medida de contorno temporária, considere desativar a função
sub 4153FC até que uma correção esteja disponível. Restrinja o acesso ao arquivo /cgi-bin/sysconf.cgi para minimizar o risco de exploração. Evite usar o argumento supplicant rnd id en no Manipulador de Requisições HTTP POST afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Special Elements Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Linksys Fgw3000-Ah
Linksys Fgw3000-Hk