KVM Angeet ES3 не очищает должным образом предоставленные пользователем переменные, анализируемые сценарием cfg.lua, что позволяет злоумышленнику, прошедшему проверку подлинности, выполнять команды уровня ОС.
Показать оригинальное описание (EN)
The Angeet ES3 KVM does not properly sanitize user-supplied variables parsed by the 'cfg.lua' script, allowing an authenticated attacker to execute OS-level commands.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 3
https://eclypsium.com/blog/kvm-devices-the-keys-to-your-kingdom-are-hanging-on-…
9119a7d8-5eab-497f-8521-727c672e3725
https://raw.githubusercontent.com/cisagov/CSAF/develop/csaf_files/IT/white/2025…
9119a7d8-5eab-497f-8521-727c672e3725
https://www.cve.org/CVERecord?id=CVE-2026-32291
9119a7d8-5eab-497f-8521-727c672e3725