CRITICAL✓ PATCH🇬🇧 English

CVE-2025-24936

Command injection w Nokia Wavesuite NOC — RCE przez aplikację webową

CVSS 9.0v3.1pub. 2025-07-21upd. 2025-08-11

Aplikacja webowa Nokia Wavesuite NOC nie filtruje danych wejściowych użytkownika przed przekazaniem ich do poleceń systemu operacyjnego, co umożliwia atak typu command injection. Podatność jest krytyczna, ponieważ atakujący z niskim poziomem uprawnień może wykonywać dowolne polecenia na serwerze.

Pokaż oryginał (EN)

The web application allows user input to pass unfiltered to a command executed on the underlying operating system. The vulnerable component is bound to the network stack and the set of possible attackers extends up to and including the entire Internet. An attacker with low privileged access to the application has the potential to execute commands on the operating system under the context of the webserver.

🤖 Analiza AI
Jak działa

Aplikacja webowa przekazuje dane wejściowe użytkownika bezpośrednio do poleceń wykonywanych na poziomie systemu operacyjnego bez odpowiedniego filtrowania lub walidacji (CWE-78). Podatny komponent jest dostępny przez stos sieciowy, co oznacza, że potencjalny zasięg atakujących obejmuje cały Internet. Atakujący posiadający konto z niskim poziomem uprawnień w aplikacji może osadzić złośliwe polecenia w danych wejściowych, które zostaną wykonane w kontekście procesu serwera webowego.

Skutki

Atakujący może wykonywać dowolne polecenia systemu operacyjnego w kontekście konta serwera webowego, co może prowadzić do pełnego przejęcia kontroli nad systemem, wycieku poufnych danych, naruszenia integralności danych oraz doprowadzenia do niedostępności usługi.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://www.nokia.com/about-us/security-and-privacy/product-security-advisory/cve-2025-24936/). Do czasu zastosowania aktualizacji zaleca się ograniczenie dostępu do aplikacji webowej wyłącznie do zaufanych użytkowników i sieci oraz monitorowanie logów systemowych pod kątem podejrzanej aktywności.

Kogo dotyczy

Nokia Wavesuite NOC — wersje wskazane w referencjach producenta

CVSS Vector
CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Nokia Wavesuite Noc

    APP
    Nokia
    23.1223.624.6
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2025-24937CRITICAL9.0PL ✓ten sam produkt

Nokia Wavesuite NOC — path traversal i RFI umożliwiające pełne przejęcie kontenera

CVE-2025-24938HIGH8.4ten sam produkt

The web application allows user input to pass unfiltered to a command executed on the underlying operating sys...

CVE-2025-27020CRITICAL9.8PL ✓ten sam vendor

Pominięcie uwierzytelnienia SSH w Nokia Infinera MTC-9 umożliwia RCE

CVE-2025-27019CRITICAL9.8PL ✓ten sam vendor

Nokia Infinera MTC-9: dostęp bez hasła przez usługę RSH umożliwia reverse shell

CVE-2024-25660CRITICAL9.0PL ✓ten sam vendor

Nieautoryzowane operacje na plikach przez WebDAV w Nokia/Infinera TNMS