CVE-2025-14577
CriticalSummary
Urządzenia Slican NCP/IPL/IPM/IPU są podatne na wstrzykiwanie funkcji PHP. Nieautoryzowany zdalny atakujący może wykonać dowolne polecenia PHP, wysyłając specjalnie przygotowane żądania do punktu końcowego /webcti/session_ajax.php.
Risk Assessment
Podatność ta może prowadzić do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla bezpieczeństwa systemów i danych organizacji.
Recommendation
Zaleca się aktualizację urządzeń do wersji 1.24.0190 (Slican NCP) oraz 6.61.0010 (Slican IPL/IPM/IPU) w celu usunięcia tej podatności.
Original NVD description (English source)
Slican NCP/IPL/IPM/IPU devices are vulnerable to PHP Function Injection. An unauthenticated remote attacker is able to execute arbitrary PHP commands by sending specially crafted requests to /webcti/session_ajax.php endpoint. This issue was fixed in version 1.24.0190 (Slican NCP) and 6.61.0010 (Slican IPL/IPM/IPU).

