PT-2025-50974 · Atcom · Atcom 100M Ip Phones
Mohammed Adel
·
Publicado
2025-12-12
·
Atualizado
2025-12-13
·
CVE-2024-58314
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Telefones IP Atcom 100M versões 2.7.x.x
Descrição
O software contém uma vulnerabilidade de injeção de comando autenticada no script CGI de configuração web. Isso permite que atacantes executem comandos arbitrários do sistema. O parâmetro
cmd no script 'web cgi main.cgi' é o ponto de injeção, permitindo a execução remota de código com credenciais administrativas.Recomendações
Aplique atualizações para resolver o problema em versões anteriores à versão corrigida. Como solução temporária, restrinja o acesso ao script 'web cgi main.cgi' para minimizar o risco de exploração. Evite utilizar o parâmetro
cmd no script afetado até que o problema seja resolvido.Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Atcom 100M Ip Phones