Krytyczna luka OS command injection w oprogramowaniu Synway SMG Gateway Management

Krytyczna luka OS command injection w Synway SMG Gateway Management umożliwia zdalne wykonanie kodu. Zalecane szybkie działania zabezpieczające.
CVE-2025-71284CVSS 9.3Web

Krytyczna luka OS command injection w oprogramowaniu Synway SMG Gateway Management

Krytyczna luka OS command injection w Synway SMG Gateway Management umożliwia zdalne wykonanie kodu. Zalecane szybkie działania zabezpieczające.

CVSS
9.3 CRITICAL
EPSS
92.13%
Aktywnie wykorzystywana
brak w KEV
Produkt
smg gateway management software

Co wiadomo

Oprogramowanie Synway SMG Gateway Management zawiera krytyczną lukę OS command injection w punkcie końcowym konfiguracji RADIUS, umożliwiającą zdalne wykonanie kodu bez uwierzytelnienia poprzez manipulację parametrami POST. Luka została zaobserwowana w atakach od lipca 2025 roku.

Wpływ biznesowy

Luka o wysokim poziomie ryzyka (CVSS 9.3) pozwala atakującemu na zdalne wykonanie dowolnych poleceń systemowych bez potrzeby uwierzytelnienia, co może prowadzić do przejęcia kontroli nad urządzeniem lub infrastrukturą sieciową. Operatorzy systemów korzystających z Synway SMG Gateway powinni traktować tę lukę jako krytyczną i priorytetowo podjąć działania zabezpieczające.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji lub poprawek od producenta Synway. W międzyczasie ograniczyć dostęp do interfejsu zarządzania, monitorować logi pod kątem podejrzanych żądań POST do /en/9-2radius.php oraz rozważyć zastosowanie reguł zapory sieciowej blokujących nieautoryzowane żądania. Priorytetowo wdrożyć środki minimalizujące ekspozycję i przygotować się na szybkie reagowanie na incydenty.

Źródła