CRITICAL🇬🇧 English

CVE-2024-33792

Command Injection w Netis-Systems MEX605 — zdalne wykonanie poleceń OS

CVSS 9.8v3.1pub. 2024-05-03upd. 2025-06-17

Podatność typu command injection w oprogramowaniu Netis-Systems MEX605 v2.00.06 umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemu operacyjnego. Wysoki wynik CVSS 9.8 oraz brak wymagań uwierzytelnienia czynią tę lukę szczególnie niebezpieczną.

Pokaż oryginał (EN)

netis-systems MEX605 v2.00.06 allows attackers to execute arbitrary OS commands via a crafted payload to the tracert page.

🤖 Analiza AI
Jak działa

Atakujący wysyła spreparowany payload do strony diagnostycznej 'tracert' (traceroute) dostępnej w interfejsie urządzenia. Dane wejściowe przekazywane przez użytkownika nie są odpowiednio walidowane ani sanityzowane (CWE-20), co pozwala na wstrzyknięcie dodatkowych poleceń systemowych (CWE-78). W rezultacie złośliwe polecenia są wykonywane z uprawnieniami procesu obsługującego żądanie na poziomie systemu operacyjnego routera.

Skutki

Atakujący może zdalnie przejąć pełną kontrolę nad urządzeniem, wykonując dowolne polecenia OS — w tym modyfikować konfigurację, uzyskać dostęp do przesyłanych danych sieciowych lub wykorzystać urządzenie jako punkt wejścia do dalszych ataków w sieci wewnętrznej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako środek tymczasowy zaleca się ograniczenie dostępu do interfejsu administracyjnego urządzenia wyłącznie do zaufanych hostów oraz odizolowanie urządzenia od publicznego Internetu.

Kogo dotyczy

Netis-Systems MEX605 z oprogramowaniem sprzętowym w wersji v2.00.06

Uwagi

Publiczny proof-of-concept jest dostępny w repozytorium GitHub (https://github.com/ymkyu/CVE/tree/main/CVE-2024-33792), co zwiększa ryzyko wykorzystania podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Netis Systems Mex605

    HW
    Netis-Systems
    wszystkie wersje
  • Netis Systems Mex605 Firmware

    OS
    Netis-Systems
    2.00.06
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2024-33791MEDIUM4.6ten sam produkt

A cross-site scripting (XSS) vulnerability in netis-systems MEX605 v2.00.06 allows attackers to execute arbitr...

CVE-2024-33793MEDIUM5.3ten sam produkt

netis-systems MEX605 v2.00.06 allows attackers to execute arbitrary OS commands via a crafted payload to the p...

CVE-2024-25850CRITICAL9.8PL ✓ten sam vendor

Command injection w Netis WF2780 przez parametr wps_ap_ssid5g

CVE-2024-22729CRITICAL9.8PL ✓ten sam vendor

Command injection w NETIS SYSTEMS MW5360 przez parametr hasła na stronie logowania

CVE-2023-45466CRITICAL9.8ten sam vendor

Netis N3Mv2-V1.0.1.865 was discovered to contain a command injection vulnerability via the pin_host parameter ...

CVE-2024-33792 — Command Injection w Netis-Systems MEX605 — zdalne wykonanie poleceń OS — CRITICAL 9.8 | CVEbaza.pl