Krytyczna podatność umożliwia nieuwierzytelnionym atakującym zdalne wykonanie dowolnych poleceń systemowych (RCE) na urządzeniach Zenitel ICx500 i ICx510 poprzez wstrzyknięcie złośliwych komend w pole hostname. Otrzymała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie niebezpieczną dla środowisk korzystających z tych urządzeń.
▸ Pokaż oryginał (EN)
Remote Code Execution vulnerability that allows unauthenticated attackers to inject arbitrary commands into the hostname of the device.
Podatność typu command injection (CWE-77) polega na tym, że aplikacja nie weryfikuje poprawnie danych wejściowych przekazywanych do pola hostname urządzenia. Atakujący bez jakiegokolwiek uwierzytelnienia może wstrzyknąć arbitralne polecenia systemowe, które zostaną wykonane w kontekście urządzenia. Wektor ataku jest sieciowy, nie wymaga interakcji użytkownika ani specjalnych uprawnień, a zakres ataku wykracza poza sam komponent (S:C).
Atakujący może przejąć pełną kontrolę nad urządzeniem, uzyskując poufność, integralność i dostępność systemu na najwyższym poziomie — w tym odczyt danych konfiguracyjnych, modyfikację ustawień urządzenia oraz potencjalne zakłócenie jego działania. Możliwe jest również wykorzystanie skompromitowanego urządzenia jako punktu wejścia do dalszego lateral movement w sieci.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegółowe informacje o wersjach naprawiających podatność zawiera oficjalny Security Advisory Zenitel (A100K12333) dostępny pod adresem wskazanym w referencjach. Do czasu zastosowania aktualizacji zaleca się izolację urządzeń od sieci publicznej oraz ograniczenie dostępu do nich wyłącznie do zaufanych segmentów sieci.
Urządzenia Zenitel ICx500 oraz ICx510 (firmware i sprzęt) — konkretne wersje firmware wskazane w referencjach producenta (Security Advisory A100K12333).
Podatność opublikowana 2026-01-09; Security Advisory producenta nosi oznaczenie A100K12333 i jest dostępny na stronie Zenitel. Pomimo maksymalnego wyniku CVSS 10.0, podatność nie figuruje na liście CISA KEV w momencie publikacji karty.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HZenitel Icx500
HWZenitelwszystkie wersjeZenitel Icx500 Firmware
OSZenitel< 1.4.3.3Zenitel Icx510
HWZenitelwszystkie wersjeZenitel Icx510 Firmware
OSZenitel< 1.4.3.3
Powiązane podatności
This vulnerability allows unauthenticated attackers to inject an SQL request into GET request parameters and d...
Command Injection w Zenitel Tcis-3 via nazwa przesyłanego pliku
Command injection w Zenitel TCIS-3 – wykonanie poleceń przez hostname
This vulnerability allows authenticated attackers to execute commands via the NTP-configuration of the device.
The web part of Zenitel AlphaCom XE Audio Server through 11.2.3.10, called AlphaWeb XE, does not restrict file...