CRITICAL🇬🇧 English

CVE-2025-50526

Command injection w Netgear EX8000 via funkcja switch_status

CVSS 9.8v3.1pub. 2025-12-23upd. 2026-01-02

W oprogramowaniu układowym Netgear EX8000 w wersji V1.0.0.126 odkryto podatność typu command injection w funkcji switch_status. Luka posiada ocenę CVSS 9.8 (CRITICAL) i umożliwia zdalne przejęcie kontroli nad urządzeniem bez uwierzytelnienia.

Pokaż oryginał (EN)

Netgear EX8000 V1.0.0.126 was discovered to contain a command injection vulnerability via the switch_status function.

🤖 Analiza AI
Jak działa

Podatność (CWE-77) polega na nieprawidłowym neutralizowaniu znaków specjalnych przekazywanych do funkcji switch_status, która następnie wykonuje je jako polecenia systemowe. Atakujący może przesłać spreparowane żądanie sieciowe zawierające złośliwy payload bez konieczności posiadania jakichkolwiek poświadczeń dostępu. Wektor ataku jest sieciowy, nie wymaga interakcji użytkownika ani szczególnych uprawnień, co czyni go wyjątkowo niebezpiecznym.

Skutki

Atakujący może wykonać dowolne polecenia systemowe na urządzeniu z potencjalnie najwyższymi uprawnieniami, co prowadzi do pełnej kompromitacji poufności, integralności i dostępności urządzenia — w tym możliwości trwałej modyfikacji konfiguracji sieci lub wykorzystania urządzenia jako punktu wejścia do sieci wewnętrznej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się izolację panelu zarządzania urządzenia od publicznego dostępu sieciowego oraz ograniczenie dostępu do interfejsu administracyjnego wyłącznie do zaufanych hostów.

Kogo dotyczy

Netgear EX8000 (rozszerzacz zasięgu Wi-Fi) z oprogramowaniem układowym w wersji V1.0.0.126

Uwagi

W referencjach wskazano publicznie dostępne materiały dowodowe, w tym nagranie wideo (PoC) demonstrujące wykorzystanie podatności, opublikowane przez badacza JZP018 na platformie GitHub.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Netgear Ex8000

    HW
    Netgear
    wszystkie wersje
  • Netgear Ex8000 Firmware

    OS
    Netgear
    1.0.0.126
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2025-45492CRITICAL9.8PL ✓ten sam produkt

Command Injection w Netgear EX8000 via parametr Iface (action_wireless)

CVE-2021-45618CRITICAL9.6ten sam produkt

Certain NETGEAR devices are affected by command injection by an unauthenticated attacker. This affects D7800 b...

CVE-2021-45619CRITICAL9.6ten sam produkt

Certain NETGEAR devices are affected by command injection by an unauthenticated attacker. This affects EX6200v...

CVE-2020-35800CRITICAL9.4ten sam produkt

Certain NETGEAR devices are affected by incorrect configuration of security settings. This affects AC2100 befo...

CVE-2018-21153CRITICAL9.8ten sam produkt

Certain NETGEAR devices are affected by a buffer overflow by an unauthenticated attacker. This affects D7800 b...

CVE-2025-50526 — Command injection w Netgear EX8000 via funkcja switch_status — CRITICAL 9.8 | CVEbaza.pl