CRITICAL🇬🇧 English

CVE-2025-28219

OS command injection w Netgear DC112A — zdalne wykonanie poleceń

CVSS 9.8v3.1pub. 2025-03-28upd. 2025-05-02

Netgear DC112A w wersji firmware V1.0.0.64 zawiera krytyczną podatność typu command injection w pliku usb_adv.cgi, umożliwiającą nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Brak wymogu uwierzytelnienia oraz sieciowy charakter wektora ataku czynią tę podatność szczególnie niebezpieczną.

Pokaż oryginał (EN)

Netgear DC112A V1.0.0.64 has an OS command injection vulnerability in the usb_adv.cgi, which allows remote attackers to execute arbitrary commands via parameter "deviceName" passed to the binary through a POST request.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej walidacji i sanityzacji parametru 'deviceName' przekazywanego do skryptu usb_adv.cgi poprzez żądanie HTTP POST. Atakujący może wstrzyknąć w wartość tego parametru dowolne polecenia systemu operacyjnego, które zostają wykonane przez urządzenie z jego uprawnieniami. Atak nie wymaga żadnego uwierzytelnienia ani interakcji po stronie użytkownika, a zasięg wektora ataku jest sieciowy.

Skutki

Atakujący może uzyskać pełną kontrolę nad urządzeniem poprzez zdalne wykonanie dowolnych poleceń systemowych, co może prowadzić do naruszenia poufności, integralności oraz dostępności urządzenia i danych przez nie przetwarzanych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jeśli aktualizacja nie jest dostępna, zaleca się ograniczenie dostępu do interfejsu zarządzania urządzeniem wyłącznie do zaufanych hostów poprzez segmentację sieci lub firewall oraz wyłączenie nieużywanych funkcji USB.

Kogo dotyczy

Netgear DC112A z firmware w wersji V1.0.0.64

Uwagi

Szczegóły techniczne podatności zostały opublikowane w repozytorium GitHub (IdaJea/IOT_vuln_1) wraz z dokumentacją analizy binarnej (sub_69600.pdf). Podatność dotyczy konkretnej, publicznie udokumentowanej wersji firmware V1.0.0.64.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Netgear Dc112a

    HW
    Netgear
    wszystkie wersje
  • Netgear Dc112a Firmware

    OS
    Netgear
    1.0.0.64
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2021-45638CRITICAL9.6ten sam produkt

Certain NETGEAR devices are affected by a stack-based buffer overflow by an unauthenticated attacker. This aff...

CVE-2021-45610CRITICAL9.6ten sam produkt

Certain NETGEAR devices are affected by a buffer overflow by an unauthenticated attacker. This affects D6220 b...

CVE-2021-45611CRITICAL9.6ten sam produkt

Certain NETGEAR devices are affected by a buffer overflow by an unauthenticated attacker. This affects DC112A ...

CVE-2021-45527CRITICAL9.6ten sam produkt

Certain NETGEAR devices are affected by a buffer overflow by an authenticated user. This affects D6220 before ...

CVE-2021-38516CRITICAL10.0ten sam produkt

Certain NETGEAR devices are affected by lack of access control at the function level. This affects D6220 befor...