CVE-2025-44654
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 59 - wyżej niż 59% wszystkich znanych CVE
Streszczenie
W oprogramowaniu Linksys E2500 w wersji 3.0.04.002 opcja chroot_local_user jest włączona w pliku konfiguracyjnym vsftpd. Może to prowadzić do nieautoryzowanego dostępu do plików systemowych, eskalacji uprawnień lub wykorzystania serwera jako punktu przesiadkowego do ataków na sieć wewnętrzną.
Ocena ryzyka
Organizacja narażona jest na ryzyko przejęcia kontroli nad urządzeniem, wycieku poufnych danych oraz możliwości przeprowadzenia dalszych ataków na infrastrukturę wewnętrzną z poziomu skompromitowanego serwera.
Rekomendacja
Zaleca się natychmiastowe wyłączenie opcji chroot_local_user w konfiguracji vsftpd oraz aktualizację oprogramowania Linksys E2500 do najnowszej dostępnej wersji.
Oryginalny opis (angielski, źródło NVD)
In Linksys E2500 3.0.04.002, the chroot_local_user option is enabled in the vsftpd configuration file. This could lead to unauthorized access to system files, privilege escalation, or use of the compromised server as a pivot point for internal network attacks.

