CVE-2025-14108

Nome do Software Vulnerável e Versões Afetadas Versões do ZSPACE Q2C NAS até a 1.1.0210050

Descrição Existe uma vulnerabilidade no ZSPACE Q2C NAS que permite a injeção remota de comandos. O problema está relacionado à função zfilev2 api.OpenSafe dentro do componente HTTP POST Request Handler, especificamente no arquivo /v2/file/safe/open. A manipulação do argumento safe dir pode levar à injeção de comandos. Um exploit público está disponível. O fornecedor foi notificado, mas não respondeu.

Recomendações Versões anteriores à 1.1.0210050 devem ser atualizadas. Como solução temporária, considere restringir o acesso ao endpoint da API /v2/file/safe/open. Evite usar o parâmetro safe dir no endpoint da API afetado até que o problema seja resolvido.