CRITICAL🇬🇧 English

CVE-2025-54322

Xspeeder SXZOS — nieuwierzytelniony RCE z uprawnieniami root przez parametr chkid

CVSS 10.0v3.1pub. 2025-12-27upd. 2026-01-09

Podatność w systemie Xspeeder SXZOS umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu z uprawnieniami root poprzez przesłanie zakodowanego w base64 kodu Python do skryptu vLogin.py. Otrzymała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie groźną dla wszystkich narażonych hostów.

Pokaż oryginał (EN)

Xspeeder SXZOS through 2025-12-26 allows root remote code execution via base64-encoded Python code in the chkid parameter to vLogin.py. The title and oIP parameters are also used.

🤖 Analiza AI
Jak działa

Atakujący przesyła żądanie sieciowe do endpointu vLogin.py, przekazując zakodowany w base64 kod Python w parametrze chkid. Aplikacja dekoduje i wykonuje przekazany kod bez uwierzytelnienia i bez odpowiedniej walidacji danych wejściowych (CWE-95: eval injection, CWE-94: code injection). Parametry title oraz oIP są również wykorzystywane w tym procesie. Wykonanie następuje w kontekście użytkownika root, co daje atakującemu pełną kontrolę nad systemem.

Skutki

Atakujący uzyskuje pełne, nieuwierzytelnione zdalne wykonanie kodu z uprawnieniami root, co oznacza całkowite przejęcie kontroli nad urządzeniem — możliwość odczytu i modyfikacji danych, instalacji złośliwego oprogramowania, a także pivot do dalszych elementów sieci.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Ze względu na brak uwierzytelnienia wymagany przez podatność, należy niezwłocznie ograniczyć dostęp sieciowy do endpointu vLogin.py za pomocą firewall lub ACL, do czasu wdrożenia oficjalnej aktualizacji.

Kogo dotyczy

Xspeeder SXZOS we wszystkich wersjach do 2025-12-26 włącznie.

Uwagi

Według referencji opublikowanych przez pwn.ai podatność miała dotyczyć około 70 000 publicznie dostępnych hostów. CVE zostało opublikowane 2025-12-27, a podatność opisywana jest jako zero-day.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Xspeeder Sxzos

    OS
    Xspeeder
    ≤ 2025-12-26
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje