Прошивка сетевого коммутатора XikeStor SKS8310-8X версий 1.04.B07 и более ранних содержит уязвимость внедрения команд ОС в конечной точке /goform/PingTestSet, которая позволяет не прошедшим проверку подлинности удаленным злоумышленникам выполнять произвольные команды операционной системы. Злоумышленники могут внедрить вредоносные команды через параметр destIp, чтобы добиться удаленного выполнения кода с правами root на сетевом коммутаторе.
Показать оригинальное описание (EN)
XikeStor SKS8310-8X Network Switch firmware versions 1.04.B07 and prior contain an OS command injection vulnerability in the /goform/PingTestSet endpoint that allows unauthenticated remote attackers to execute arbitrary operating system commands. Attackers can inject malicious commands through the destIp parameter to achieve remote code execution with root privileges on the network switch.
Характеристики атаки
Последствия
Строка CVSS v4.0