CRITICAL🇬🇧 English

CVE-2026-3587

Ukryta funkcja CLI umożliwia pełne przejęcie urządzenia

CVSS 10.0v3.1pub. 2026-03-23upd. 2026-03-24

Podatność w ukrytej funkcji interfejsu wiersza poleceń (CLI) pozwala nieuwierzytelnionemu atakującemu zdalnie uciec z ograniczonego interfejsu i uzyskać pełną kontrolę nad urządzeniem. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko bez żadnych wymagań wstępnych po stronie atakującego.

Pokaż oryginał (EN)

An unauthenticated remote attacker can exploit a hidden function in the CLI prompt to escape the restricted interface, leading to full compromise of the device.

🤖 Analiza AI
Jak działa

Atakujący bez uwierzytelnienia uzyskuje dostęp do ukrytej funkcji (hidden function) w interfejsie CLI urządzenia, sklasyfikowanej jako CWE-912 (Hidden Functionality). Funkcja ta umożliwia wydostanie się z ograniczonego środowiska CLI (restricted interface escape), co prowadzi do pełnego naruszenia bezpieczeństwa urządzenia. Atak jest możliwy zdalnie przez sieć, bez interakcji użytkownika i bez konieczności posiadania jakichkolwiek uprawnień.

Skutki

Atakujący może uzyskać pełną kontrolę nad urządzeniem, w tym dostęp do poufnych danych, możliwość modyfikacji konfiguracji oraz zakłócenia jego działania — co odpowiada maksymalnym wskaźnikom poufności, integralności i dostępności w wektorze CVSS.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje dostępne pod adresem https://certvde.com/de/advisories/VDE-2026-020

Kogo dotyczy

Wersje wskazane w referencjach producenta (produkty nieznane na podstawie dostępnych metadanych — szczegóły w anonimizacji VDE-2026-020 na certvde.com)

Uwagi

Podatność sklasyfikowana jako CWE-912 (Hidden Functionality) — obecność ukrytej funkcji w oprogramowaniu może wskazywać na celowo wprowadzony mechanizm backdoor lub niedokumentowaną funkcjonalność serwisową. Szczegóły dotyczące produktów dostępne wyłącznie w pełnym komunikacie VDE-2026-020.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje