Krytyczna luka w Lantronix EDS5000 umożliwiająca wstrzyknięcie kodu

Krytyczna luka w Lantronix EDS5000 umożliwia wykonanie poleceń z uprawnieniami roota. Zalecane szybkie działania zabezpieczające i aktualizacje.
CVE-2025-67038CVSS 9.8CISA KEVKnown Exploited

Krytyczna luka w Lantronix EDS5000 umożliwiająca wstrzyknięcie kodu

Krytyczna luka w Lantronix EDS5000 umożliwia wykonanie poleceń z uprawnieniami roota. Zalecane szybkie działania zabezpieczające i aktualizacje.

CVSS
9.8 CRITICAL
EPSS
62.49%
Aktywnie wykorzystywana
tak
Produkt
EDS5000

Co wiadomo

W Lantronix EDS5000 2.1.0.0R3 wykryto krytyczną lukę umożliwiającą wstrzyknięcie poleceń systemowych poprzez parametr nazwy użytkownika w module HTTP RPC. Atakujący mogą wykonać dowolne polecenia z uprawnieniami roota, co stanowi poważne zagrożenie bezpieczeństwa.

Wpływ biznesowy

Luka ta pozwala na zdalne wykonanie kodu z najwyższymi uprawnieniami, co może prowadzić do przejęcia kontroli nad urządzeniem, wycieku danych lub zakłócenia działania infrastruktury. Operatorzy powinni traktować to zagrożenie jako krytyczne, zwłaszcza w środowiskach produkcyjnych, gdzie urządzenia Lantronix EDS5000 są używane.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od producenta Lantronix. Do czasu wdrożenia łat należy ograniczyć dostęp do interfejsu HTTP RPC, monitorować logi pod kątem podejrzanych prób logowania oraz stosować zasady minimalizacji uprawnień i segmentacji sieci w celu ograniczenia potencjalnego wpływu ataku.

Źródła