PT-2025-39103 · Unknown · Vitogate 300
Adhkr
·
Publicado
2025-09-23
·
Atualizado
2025-10-01
·
CVE-2025-9494
CVSS v4.0
8.5
Alta
| Vetor | AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Vitogate 300 (versões afetadas não especificadas)
Descrição
Existe uma vulnerabilidade de injeção de comandos do sistema operacional no Vitogate 300. Um usuário malicioso pode explorar isso para comprometer instalações afetadas. O problema está presente no endpoint da API
/cgi-bin/vitogate.cgi quando o parâmetro JSON form é definido como form-0-2. A vulnerabilidade ocorre porque a entrada não é devidamente sanitizada antes de ser usada em uma string de formato passada para a função popen() no offset 0x21c24. Isso permite que um atacante autenticado injete comandos arbitrários do sistema operacional e obtenha execução de código.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vitogate 300