CVE-2025-57293

Nome do Software Vulnerável e Versões Afetadas COMFAST CF-XR11 versão V2.7.2

Descrição Existe uma vulnerabilidade de injeção de comando na API multi pppoe, processada pela função sub 423930. O parâmetro phy interface não é sanitizado, permitindo que atacantes injetem comandos arbitrários via uma requisição POST para /cgi-bin/mbox-config?method=SET&section=multi pppoe. Especificamente, quando o parâmetro action é definido como "one click redial", o phy interface não sanitizado é utilizado em uma chamada system(), permitindo a execução de comandos maliciosos. Isso pode levar ao acesso não autorizado a arquivos sensíveis, execução de código arbitrário ou comprometimento total do dispositivo.

Recomendações Como solução temporária, considere desabilitar a API multi pppoe até que um patch esteja disponível. Restrinja o acesso ao endpoint /cgi-bin/mbox-config para minimizar o risco de exploração. Evite utilizar o parâmetro action com o valor "one click redial" até que o problema seja resolvido.