CRITICAL🇬🇧 English

CVE-2025-46121

Format string RCE w CommScope Ruckus Unleashed — nieuwierzytelniony dostęp

CVSS 9.8v3.1pub. 2025-07-21upd. 2025-08-05

Podatność typu format string (CWE-134) w oprogramowaniu CommScope Ruckus Unleashed umożliwia zdalnemu atakującemu wykonanie dowolnego kodu na kontrolerze bez uwierzytelnienia. Krytyczny poziom zagrożenia wynika z faktu, że exploit może być przeprowadzony bez bezpośredniego dostępu sieciowego do kontrolera poprzez sfałszowanie adresu MAC.

Pokaż oryginał (EN)

An issue was discovered in CommScope Ruckus Unleashed prior to 200.15.6.212.14 and 200.17.7.0.139, where the functions `stamgr_cfg_adpt_addStaFavourite` and `stamgr_cfg_adpt_addStaIot` pass a client hostname directly to snprintf as the format string. A remote attacker can exploit this flaw either by sending a crafted request to the authenticated endpoint `/admin/_conf.jsp`, or without authentication and without direct network access to the controller by spoofing the MAC address of a favourite station and embedding malicious format specifiers in the DHCP hostname field, resulting in unauthenticated format-string processing and arbitrary code execution on the controller.

🤖 Analiza AI
Jak działa

Funkcje `stamgr_cfg_adpt_addStaFavourite` oraz `stamgr_cfg_adpt_addStaIot` przekazują nazwę hosta klienta bezpośrednio do `snprintf` jako ciąg formatujący, zamiast jako argument. Atakujący może wykorzystać tę lukę na dwa sposoby: poprzez wysłanie spreparowanego żądania do uwierzytelnionego endpointu `/admin/_conf.jsp`, albo — bez uwierzytelnienia i bez bezpośredniego dostępu do kontrolera — poprzez sfałszowanie adresu MAC stacji będącej na liście ulubionych i umieszczenie złośliwych specyfikatorów formatu w polu nazwy hosta DHCP. W drugim scenariuszu kontroler przetwarza złośliwy ciąg formatujący bez jakiegokolwiek uwierzytelnienia, co prowadzi do wykonania dowolnego kodu.

Skutki

Atakujący może uzyskać pełną kontrolę nad kontrolerem, co obejmuje naruszenie poufności, integralności oraz dostępności systemu — w tym potencjalne przejęcie całej infrastruktury bezprzewodowej zarządzanej przez kontroler.

Mitygacja

Należy zaktualizować oprogramowanie Ruckus Unleashed do wersji 200.15.6.212.14 lub 200.17.7.0.139 (bądź nowszej). Szczegółowe informacje dostępne są w biuletynie bezpieczeństwa producenta pod adresem https://support.ruckuswireless.com/security_bulletins/330. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu do interfejsu administracyjnego kontrolera oraz monitorowanie anomalii w ruchu DHCP.

Kogo dotyczy

CommScope Ruckus Unleashed w wersjach wcześniejszych niż 200.15.6.212.14 oraz 200.17.7.0.139, na urządzeniach: Ruckus M510-JP, Ruckus T350C, Ruckus R350, Ruckus E510, Ruckus T811-CM.

Uwagi

Podatność została opisana i opublikowana przez badaczy z Computest Sector 7 (https://sector7.computest.nl/post/2025-07-ruckus-unleashed/). Szczególnie niebezpieczny jest wektor nieuwierzytelniony, który nie wymaga bezpośredniego dostępu sieciowego do kontrolera — wystarczy możliwość wysłania pakietu DHCP ze sfałszowanym adresem MAC do sieci obsługiwanej przez kontroler.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Commscope Ruckus C110

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus E510

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus H320

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus H350

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus H510

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus H550

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus M510

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus M510 Jp

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus R310

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus R320

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus R350

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus R350e

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus R510

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus R550

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus R560

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus R610

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus R650

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus R670

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus R710

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus R720

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus R730

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus R750

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus R760

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus R770

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus R850

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus T310c

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus T310n

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus T310s

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus T350c

    HW
    Commscope
    wszystkie wersje
  • Commscope Ruckus T350d

    HW
    Commscope
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2025-44954CRITICAL9.0PL ✓ten sam produkt

Hardcoded SSH private key w RUCKUS SmartZone — dostęp root zdalnie

CVE-2025-44961CRITICAL9.9PL ✓ten sam produkt

Command injection w RUCKUS SmartZone przez pole adresu IP

CVE-2025-46120CRITICAL9.8PL ✓ten sam produkt

Path traversal w Ruckus Unleashed/ZoneDirector umożliwia RCE bez uwierzytelnienia

CVE-2025-46117CRITICAL9.1PL ✓ten sam produkt

Command injection w CommScope Ruckus — wykonanie komend jako root przez CLI

CVE-2025-46122CRITICAL9.1PL ✓ten sam produkt

Command injection w Ruckus Unleashed — zdalne wykonanie poleceń jako root