Podatność w ukrytej funkcji interfejsu wiersza poleceń (CLI) pozwala nieuwierzytelnionemu atakującemu zdalnie uciec z ograniczonego interfejsu i uzyskać pełną kontrolę nad urządzeniem. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko bez żadnych wymagań wstępnych po stronie atakującego.
▸ Pokaż oryginał (EN)
An unauthenticated remote attacker can exploit a hidden function in the CLI prompt to escape the restricted interface, leading to full compromise of the device.
Atakujący bez uwierzytelnienia uzyskuje dostęp do ukrytej funkcji (hidden function) w interfejsie CLI urządzenia, sklasyfikowanej jako CWE-912 (Hidden Functionality). Funkcja ta umożliwia wydostanie się z ograniczonego środowiska CLI (restricted interface escape), co prowadzi do pełnego naruszenia bezpieczeństwa urządzenia. Atak jest możliwy zdalnie przez sieć, bez interakcji użytkownika i bez konieczności posiadania jakichkolwiek uprawnień.
Atakujący może uzyskać pełną kontrolę nad urządzeniem, w tym dostęp do poufnych danych, możliwość modyfikacji konfiguracji oraz zakłócenia jego działania — co odpowiada maksymalnym wskaźnikom poufności, integralności i dostępności w wektorze CVSS.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje dostępne pod adresem https://certvde.com/de/advisories/VDE-2026-020
Wersje wskazane w referencjach producenta (produkty nieznane na podstawie dostępnych metadanych — szczegóły w anonimizacji VDE-2026-020 na certvde.com)
Podatność sklasyfikowana jako CWE-912 (Hidden Functionality) — obecność ukrytej funkcji w oprogramowaniu może wskazywać na celowo wprowadzony mechanizm backdoor lub niedokumentowaną funkcjonalność serwisową. Szczegóły dotyczące produktów dostępne wyłącznie w pełnym komunikacie VDE-2026-020.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H