CVE-2025-34033

Nome do Software Vulnerável e Versões Afetadas: Blue Angel Software Suite (versões afetadas não especificadas)

Descrição: Existe uma vulnerabilidade de injeção de comando do sistema operacional no Blue Angel Software Suite executado em dispositivos Linux embarcados através do parâmetro ping addr no script webctrl.cgi. A aplicação não sanitiza corretamente a entrada antes de passá-la para o comando ping em nível de sistema. Um atacante autenticado pode injetar comandos arbitrários anexando metacaracteres de shell ao parâmetro ping addr em uma requisição GET elaborada para /cgi-bin/webctrl.cgi?action=pingtest update. A saída do comando é refletida na interface web da aplicação, permitindo que os atacantes visualizem os resultados diretamente. Credenciais padrão e de backdoor podem ser usadas para acessar a interface e explorar o problema. A exploração bem-sucedida resulta na execução de comandos arbitrários como o usuário root.

Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.