An issue was discovered in Lantronix EDS5000 2.1.0.0R3. The Log Info page allows users to see log files by specifying their names. Due to a missing sanitization in the file name parameter, an authenticated attacker can inject arbitrary OS commands that are executed with root privileges.
oryginał ENCVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:HLantronix Eds5008
HWLantronixwszystkie wersjeLantronix Eds5008 Firmware
OSLantronix2.1.0.0r3Lantronix Eds5016
HWLantronixwszystkie wersjeLantronix Eds5016 Firmware
OSLantronix2.1.0.0r3Lantronix Eds5032
HWLantronixwszystkie wersjeLantronix Eds5032 Firmware
OSLantronix2.1.0.0r3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Powiązane podatności
CVE-2025-67038CRITICAL9.8⚠ KEVPL ✓ten sam produkt
Command injection w Lantronix EDS5000 – wykonanie poleceń jako root
CVE-2025-67035CRITICAL9.8PL ✓ten sam produkt
OS command injection w Lantronix EDS5000 — wykonanie kodu jako root
CVE-2025-67034HIGH8.8ten sam produkt
An issue was discovered in Lantronix EDS5000 2.1.0.0R3. An authenticated attacker can inject OS commands into ...
CVE-2025-67037HIGH8.8ten sam produkt
An issue was discovered in Lantronix EDS5000 2.1.0.0R3. An authenticated attacker can inject OS commands into ...
CVE-2025-67039CRITICAL9.1PL ✓ten sam vendor
Pominięcie uwierzytelnienia w urządzeniach Lantronix EDS3000PS