PT-2025-49395 · Sgai · Space1 Nas N1211Ds
Renguangyue
·
Publicado
2025-12-07
·
Atualizado
2025-12-09
·
CVE-2025-14184
CVSS v2.0
6.5
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:P/A:P |
Nome do Software Vulnerável e Versões Afetadas
SGAI Space1 NAS N1211DS versões até a 1.0.915
Descrição
Existe uma falha de injeção de comando no componente
gsaiagent. A função RENAME FILE/OPERATE FILE/NGNIX UPLOAD no arquivo /cgi-bin/JSONAPI é suscetível a manipulação, levando à injeção de comando. Este ataque pode ser iniciado remotamente. O exploit foi divulgado publicamente. O fabricante foi contatado a respeito desta divulgação, mas não respondeu.Recomendações
Versões até a 1.0.915: Como solução temporária, considere restringir o acesso ao arquivo
/cgi-bin/JSONAPI para minimizar o risco de exploração.Exploit
Correção
Special Elements Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Space1 Nas N1211Ds