CVE-2025-71284

Nome do Software Vulnerável e Versões Afetadas Synway SMG Gateway Management Software (versões afetadas não especificadas)

Descrição Uma falha de injeção de comando de SO existe no endpoint de configuração RADIUS '/en/9-2radius.php'. O problema ocorre porque o parâmetro POST radius address é dividido e interpolado diretamente em um comando sed sem a sanitização adequada. Um invasor remoto não autenticado pode obter a execução remota de código enviando uma requisição POST contendo os parâmetros radius address, radius address2, shared secret2, source ip, timeout ou retry manipulados, desde que save=1 e enable radius=1 também sejam incluídos. Evidências de exploração foram observadas pela primeira vez pela Shadowserver Foundation em 11-07-2025 (UTC).

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso ao endpoint '/en/9-2radius.php' para minimizar o risco de exploração.