CRITICAL🇬🇧 English

CVE-2025-22939

Command injection w usłudze telnet urządzeń Adtran 411 ONT — eskalacja do root

CVSS 9.8v3.1pub. 2025-03-31upd. 2025-08-18

Podatność typu command injection w usłudze telnet urządzenia Adtran 411 ONT z firmware L80.00.0011.M2 umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Krytyczny poziom zagrożenia wynika z braku wymagań co do uwierzytelnienia oraz możliwości uzyskania pełnych uprawnień root.

Pokaż oryginał (EN)

A command injection vulnerability in the telnet service of Adtran 411 ONT L80.00.0011.M2 allows attackers to escalate privileges to root and execute arbitrary commands.

🤖 Analiza AI
Jak działa

Usługa telnet działająca na urządzeniu Adtran 411 ONT nie filtruje poprawnie danych wejściowych dostarczanych przez użytkownika, co prowadzi do podatności command injection (CWE-77). Atakujący może przesłać spreparowane dane zawierające złośliwe polecenia systemowe, które zostaną wykonane przez urządzenie w kontekście uprzywilejowanym. Wykorzystanie tej podatności pozwala na eskalację uprawnień do poziomu root bez konieczności posiadania jakichkolwiek poświadczeń.

Skutki

Atakujący uzyskuje pełną kontrolę nad urządzeniem z uprawnieniami root, co umożliwia wykonanie dowolnych poleceń systemowych, modyfikację konfiguracji oraz potencjalne dalsze działania w sieci operatora lub klienta.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako doraźne działanie ochronne zaleca się wyłączenie lub zablokowanie dostępu do usługi telnet na urządzeniu oraz ograniczenie dostępu sieciowego do interfejsu zarządzania wyłącznie do zaufanych hostów.

Kogo dotyczy

Adtran 411 ONT z firmware w wersji L80.00.0011.M2

Uwagi

Podatność dotyczy urządzeń ONT (Optical Network Terminal) stosowanych przez dostawców usług internetowych (ISP). Dostępne są publiczne materiały referencyjne, w tym analiza techniczna oraz nagranie wideo demonstracyjne.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Adtran 411

    HW
    Adtran
    wszystkie wersje
  • Adtran 411 Firmware

    OS
    Adtran
    l80.00.0011.m2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
LPE
CWE
Referencje

Powiązane podatności

CVE-2025-22937CRITICAL9.8PL ✓ten sam produkt

Privilege escalation w Adtran 411 ONT — krytyczna podatność LPE

CVE-2025-22938CRITICAL9.8PL ✓ten sam produkt

Słabe domyślne hasła w urządzeniu Adtran 411 ONT

CVE-2025-22940CRITICAL9.1PL ✓ten sam produkt

Nieprawidłowa kontrola dostępu w Adtran 411 ONT — nieautoryzowana zmiana hasła administratora

CVE-2025-22941CRITICAL9.8PL ✓ten sam produkt

Command injection w interfejsie webowym Adtran 411 ONT — eskalacja do root

CVE-2022-37661CRITICAL9.8ten sam vendor

SmartRG SR506n 2.5.15 and SR510n 2.6.13 routers are vulnerable to Remote Code Execution (RCE) via the ping hos...