Уразливість ін’єкції коду в Lantronix EDS5000 дозволяє виконувати команди з правами root
Виявлено критичну уразливість ін’єкції коду в Lantronix EDS5000, що дозволяє виконувати команди з правами root. Рекомендується перевірити оновлення та посилити безпеку.
- CVSS
- 9.8 CRITICAL
- EPSS
- 62.49%
- Активно використовується
- так
- Продукт
- EDS5000
Що відомо
У Lantronix EDS5000 версії 2.1.0.0R3 виявлено критичну уразливість ін’єкції коду через HTTP RPC модуль, що виконує shell-команди при невдалій аутентифікації користувача. Ім’я користувача не проходить санітизацію, що дозволяє зловмисникам виконувати довільні команди з правами root.
Бізнес-вплив
Ця уразливість може призвести до повного компрометації пристроїв Lantronix EDS5000, що використовуються в інфраструктурі, з можливістю виконання довільного коду з найвищими привілеями. Це створює серйозну загрозу для безпеки мережі та даних, особливо в критичних середовищах, де ці пристрої застосовуються.
Рекомендовані дії адміністратора
Адміністраторам рекомендується негайно перевірити наявність оновлень або патчів від виробника Lantronix для EDS5000, обмежити доступ до HTTP RPC модуля, провести аудит логів на ознаки експлуатації уразливості та впровадити додаткові заходи контролю доступу. Якщо патчі відсутні, слід мінімізувати експозицію пристроїв у мережі та підвищити моніторинг безпеки.