CRITICAL🇬🇧 English

CVE-2025-64126

Command Injection bez uwierzytelnienia w oprogramowaniu Zenitel (OT/ICS)

CVSS 10.0v4.0pub. 2025-11-26upd. 2026-04-15

Krytyczna podatność typu OS command injection (CWE-78) umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Uzyskała najwyższy możliwy wynik CVSS 10.0, co czyni ją podatnością najwyższego priorytetu.

Pokaż oryginał (EN)

An OS command injection vulnerability exists due to improper input validation. The application accepts a parameter directly from user input without verifying it is a valid IP address or filtering potentially malicious characters. This could allow an unauthenticated attacker to inject arbitrary commands.

🤖 Analiza AI
Jak działa

Aplikacja przyjmuje parametr bezpośrednio od użytkownika bez weryfikacji, czy stanowi prawidłowy adres IP, ani bez filtrowania potencjalnie złośliwych znaków. Brak walidacji wejścia (CWE-78) pozwala atakującemu na wstrzyknięcie dowolnych poleceń systemowych poprzez spreparowane żądanie. Atak może być przeprowadzony zdalnie przez sieć, bez konieczności posiadania jakichkolwiek uprawnień ani interakcji ze strony użytkownika.

Skutki

Nieuwierzytelniony atakujący może wykonać dowolne polecenia w kontekście systemowym urządzenia, co prowadzi do pełnego przejęcia kontroli nad urządzeniem, naruszenia poufności i integralności danych oraz potencjalnego zakłócenia ciągłości działania (dostępności) systemu OT/ICS.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami — aktualizacja firmware dostępna pod adresem https://wiki.zenitel.com/wiki/Downloads#Station_and_Device_Firmware_Package_.28VS-IS.29 oraz zgodnie z wytycznymi z poradnika CISA ICSA-25-329-03

Kogo dotyczy

Oprogramowanie firmware stacji i urządzeń Zenitel (pakiet VS-IS — Station and Device Firmware Package); szczegółowe wersje wskazane w referencjach producenta oraz w poradniku CISA ICSA-25-329-03

Uwagi

Podatność dotyczy środowisk OT/ICS (systemy przemysłowe). Poradnik opublikowany przez CISA w ramach serii ICS Advisories (ICSA-25-329-03). Wektor ataku sieciowy, brak wymogu uwierzytelnienia i brak wymaganej interakcji użytkownika — w połączeniu z CVSS 10.0 — uzasadniają traktowanie tej podatności jako pilnej nawet przy braku potwierdzonego exploitowania w środowisku produkcyjnym.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:L/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth BypassCommand Injection
CWE
Referencje
CVE-2025-64126 — Command Injection bez uwierzytelnienia w oprogramowaniu Zenitel (OT/ICS) — CRITICAL 10.0 | CVEbaza.pl