CVE-2026-33208

Nome do Software Vulnerável e Versões Afetadas Roxy-WI versões anteriores a 8.2.6.4

Descrição O endpoint '/config//find-in-config' não sanitiza o parâmetro words antes de incorporá-lo em uma string de comando shell executada em um servidor gerenciado remotamente via SSH. Um invasor autenticado pode injetar metacaracteres de shell para burlar o comando grep pretendido e executar comandos arbitrários do sistema operacional com privilégios sudo, resultando em Execução Remota de Código (RCE), que é a capacidade de executar qualquer comando em uma máquina alvo remotamente.

Recomendações Atualize para a versão 8.2.6.4.