CRITICAL🇬🇧 English

CVE-2024-25850

Command injection w Netis WF2780 przez parametr wps_ap_ssid5g

CVSS 9.8v3.1pub. 2024-02-22upd. 2025-04-03

Router Netis WF2780 w wersji v2.1.40144 zawiera podatność typu command injection umożliwiającą zdalne wykonanie poleceń systemowych bez uwierzytelnienia. Krytyczny poziom zagrożenia (CVSS 9.8) wynika z braku jakichkolwiek barier dostępu dla atakującego.

Pokaż oryginał (EN)

Netis WF2780 v2.1.40144 was discovered to contain a command injection vulnerability via the wps_ap_ssid5g parameter

🤖 Analiza AI
Jak działa

Podatność tkwi w parametrze wps_ap_ssid5g, który nie jest prawidłowo walidowany przed przekazaniem do interpretera poleceń systemowych (CWE-77: command injection). Atakujący może spreparować złośliwe żądanie sieciowe zawierające osadzone polecenia systemowe w wartości parametru wps_ap_ssid5g. Ponieważ wektor ataku jest sieciowy, nie wymaga uwierzytelnienia ani interakcji użytkownika, co umożliwia atak zdalnie przez Internet lub sieć lokalną.

Skutki

Atakujący może uzyskać pełną kontrolę nad urządzeniem poprzez wykonanie dowolnych poleceń systemowych, co skutkuje naruszeniem poufności, integralności oraz dostępności urządzenia i obsługiwanej sieci.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako doraźne działanie ograniczające ryzyko zaleca się odizolowanie urządzenia od nieaufanego ruchu sieciowego (np. ograniczenie dostępu do panelu administracyjnego przez firewall) do czasu wdrożenia aktualizacji firmware.

Kogo dotyczy

Netis WF2780 firmware w wersji v2.1.40144

Uwagi

Szczegóły techniczne podatności zostały opublikowane przez badacza w repozytorium GitHub (no1rr/Vulnerability). Publicznie dostępny opis exploita zwiększa ryzyko wykorzystania podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Netis Systems Wf2780

    HW
    Netis-Systems
    wszystkie wersje
  • Netis Systems Wf2780 Firmware

    OS
    Netis-Systems
    2.1.40144
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2021-26747CRITICAL9.8ten sam produkt

Netis WF2780 2.3.40404 and WF2411 1.1.29629 devices allow Shell Metacharacter Injection into the ping command,...

CVE-2025-50635HIGH7.5ten sam produkt

A null pointer dereference vulnerability was discovered in Netis WF2780 v2.2.35445. The vulnerability exists i...

CVE-2024-25851HIGH8.0ten sam produkt

Netis WF2780 v2.1.40144 was discovered to contain a command injection vulnerability via the config_sequence pa...

CVE-2024-33792CRITICAL9.8PL ✓ten sam vendor

Command Injection w Netis-Systems MEX605 — zdalne wykonanie poleceń OS

CVE-2024-22729CRITICAL9.8PL ✓ten sam vendor

Command injection w NETIS SYSTEMS MW5360 przez parametr hasła na stronie logowania

CVE-2024-25850 — Command injection w Netis WF2780 przez parametr wps_ap_ssid5g — CRITICAL 9.8 | CVEbaza.pl