PT-2025-30318 · Unknown · Eveo Urve Web Manager
Stefan Krause
·
Publicado
2025-07-21
·
Atualizado
2025-09-12
·
CVE-2025-36846
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Eveo URVE Web Manager versão 27.02.2025
Descrição
A aplicação expõe o endpoint
/ internal/pc/vpro.php para usuários não autenticados, que é vulnerável a Injeção de Comandos do Sistema Operacional. O endpoint aceita um parâmetro de entrada que é passado diretamente para a função shell exec() do PHP.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Eveo Urve Web Manager