Krytyczna luka OS command injection w oprogramowaniu Synway SMG Gateway Management
Krytyczna luka OS command injection w Synway SMG Gateway Management umożliwia zdalne wykonanie kodu. Zalecane szybkie działania zabezpieczające.
- CVSS
- 9.3 CRITICAL
- EPSS
- 92.13%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- smg gateway management software
Co wiadomo
Oprogramowanie Synway SMG Gateway Management zawiera krytyczną lukę OS command injection w punkcie końcowym konfiguracji RADIUS, umożliwiającą zdalne wykonanie kodu bez uwierzytelnienia poprzez manipulację parametrami POST. Luka została zaobserwowana w atakach od lipca 2025 roku.
Wpływ biznesowy
Luka o wysokim poziomie ryzyka (CVSS 9.3) pozwala atakującemu na zdalne wykonanie dowolnych poleceń systemowych bez potrzeby uwierzytelnienia, co może prowadzić do przejęcia kontroli nad urządzeniem lub infrastrukturą sieciową. Operatorzy systemów korzystających z Synway SMG Gateway powinni traktować tę lukę jako krytyczną i priorytetowo podjąć działania zabezpieczające.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od producenta Synway. W międzyczasie ograniczyć dostęp do interfejsu zarządzania, monitorować logi pod kątem podejrzanych żądań POST do /en/9-2radius.php oraz rozważyć zastosowanie reguł zapory sieciowej blokujących nieautoryzowane żądania. Priorytetowo wdrożyć środki minimalizujące ekspozycję i przygotować się na szybkie reagowanie na incydenty.