CRITICAL🇬🇧 English

CVE-2025-64127

Command Injection bez uwierzytelnienia w systemie Zenitel (ICSA-25-329-03)

CVSS 10.0v4.0pub. 2025-11-26upd. 2026-04-15

W produkcie firmy Zenitel odkryto krytyczną podatność typu OS command injection umożliwiającą zdalne wykonanie dowolnych poleceń systemowych bez uwierzytelnienia. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie niebezpieczną.

Pokaż oryginał (EN)

An OS command injection vulnerability exists due to insufficient sanitization of user-supplied input. The application accepts parameters that are later incorporated into OS commands without adequate validation. This could allow an unauthenticated attacker to execute arbitrary commands remotely.

🤖 Analiza AI
Jak działa

Aplikacja akceptuje parametry dostarczane przez użytkownika, które następnie są włączane do poleceń systemowych bez odpowiedniej walidacji ani sanityzacji. Nieuwierzytelniony atakujący może dostarczyć spreparowane dane wejściowe zawierające złośliwe polecenia systemowe. Ponieważ dane te nie są właściwie filtrowane (CWE-78), system wykonuje je z uprawnieniami procesu aplikacji.

Skutki

Atakujący bez żadnego uwierzytelnienia może zdalnie wykonać dowolne polecenia na poziomie systemu operacyjnego, co może prowadzić do całkowitego przejęcia urządzenia, wycieku danych oraz naruszenia integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami – aktualizacja firmware dostępna pod adresem https://wiki.zenitel.com/wiki/Downloads#Station_and_Device_Firmware_Package_.28VS-IS.29 oraz zgodnie z wytycznymi doradztwa CISA ICSA-25-329-03

Kogo dotyczy

Urządzenia i oprogramowanie firmware Zenitel (Station and Device Firmware Package – VS-IS); dokładne wersje wskazane w referencjach producenta oraz w doradztwie CISA ICSA-25-329-03

Uwagi

Podatność dotyczy systemów OT/ICS (przemysłowych systemów sterowania). Doradztwo zostało opublikowane przez CISA w ramach serii ICS Advisories (ICSA-25-329-03). Ze względu na charakter środowiska OT zaleca się priorytetowe traktowanie aktualizacji oraz izolację sieciową urządzeń do czasu wdrożenia poprawek.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:L/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth BypassCommand Injection
CWE
Referencje
CVE-2025-64127 — Command Injection bez uwierzytelnienia w systemie Zenitel (ICSA-25-329-03) — CRITICAL 10.0 | CVEbaza.pl