Podatność na zdalne wykonanie kodu (RCE) wynikająca z niewystarczającej walidacji danych wejściowych w funkcji pomiaru prędkości (Speed-Measurement). Atakujący bez uwierzytelnienia może wykonać dowolne polecenia systemowe, co czyni tę lukę krytyczną.
▸ Pokaż oryginał (EN)
Inadequate input validation exposes the system to potential remote code execution (RCE) risks. Attackers can exploit this vulnerability by appending shell commands to the Speed-Measurement feature, enabling unauthorized code execution.
Błąd polega na braku odpowiedniej walidacji danych wejściowych (CWE-20) w funkcji Speed-Measurement. Atakujący może dołączyć dodatkowe polecenia powłoki (shell commands) do parametrów przekazywanych do tej funkcji. W wyniku tego mechanizmu command injection przekazane polecenia są wykonywane przez system operacyjny z uprawnieniami aplikacji, bez żadnego uwierzytelnienia.
Atakujący zdalny, nieuwierzytelniony może wykonać dowolny kod na zaatakowanym systemie, co może prowadzić do pełnego przejęcia kontroli, wycieku danych, modyfikacji konfiguracji lub zakłócenia dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (patrz: https://advisories.ncsc.nl/advisory?id=NCSC-2024-0273)
Wersje wskazane w referencjach producenta (szczegółowe informacje dostępne w komunikacie NCSC-2024-0273)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H