CRITICAL✓ PATCH🇬🇧 English

CVE-2023-41917

RCE poprzez command injection w funkcji Speed-Measurement

CVSS 10.0v3.1pub. 2024-07-02upd. 2026-04-15

Podatność na zdalne wykonanie kodu (RCE) wynikająca z niewystarczającej walidacji danych wejściowych w funkcji pomiaru prędkości (Speed-Measurement). Atakujący bez uwierzytelnienia może wykonać dowolne polecenia systemowe, co czyni tę lukę krytyczną.

Pokaż oryginał (EN)

Inadequate input validation exposes the system to potential remote code execution (RCE) risks. Attackers can exploit this vulnerability by appending shell commands to the Speed-Measurement feature, enabling unauthorized code execution.

🤖 Analiza AI
Jak działa

Błąd polega na braku odpowiedniej walidacji danych wejściowych (CWE-20) w funkcji Speed-Measurement. Atakujący może dołączyć dodatkowe polecenia powłoki (shell commands) do parametrów przekazywanych do tej funkcji. W wyniku tego mechanizmu command injection przekazane polecenia są wykonywane przez system operacyjny z uprawnieniami aplikacji, bez żadnego uwierzytelnienia.

Skutki

Atakujący zdalny, nieuwierzytelniony może wykonać dowolny kod na zaatakowanym systemie, co może prowadzić do pełnego przejęcia kontroli, wycieku danych, modyfikacji konfiguracji lub zakłócenia dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (patrz: https://advisories.ncsc.nl/advisory?id=NCSC-2024-0273)

Kogo dotyczy

Wersje wskazane w referencjach producenta (szczegółowe informacje dostępne w komunikacie NCSC-2024-0273)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCE
CWE
Referencje