Katalog CVE

CVE-2025-66737

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.61%

Percentyl 45 - wyżej niż 45% wszystkich znanych CVE

Streszczenie

W telefonie Yealink T21P_E2 w wersji 52.84.0.15 wykryto podatność na przechodzenie do katalogów. Zdalny atakujący z podstawowymi uprawnieniami może odczytać dowolne pliki poprzez spreparowane żądanie do funkcji odczytu wyników komponentu diagnostycznego.

Ocena ryzyka

Atakujący może uzyskać dostęp do poufnych plików systemowych, takich jak konfiguracje czy dane uwierzytelniające, co może prowadzić do eskalacji uprawnień lub wycieku danych.

Rekomendacja

Należy natychmiast zaktualizować oprogramowanie telefonu do najnowszej wersji dostępnej u producenta oraz ograniczyć dostęp do interfejsu diagnostycznego tylko dla zaufanych sieci.

Oryginalny opis (angielski, źródło NVD)

Yealink T21P_E2 Phone 52.84.0.15 is vulnerable to Directory Traversal. A remote normal privileged attacker can read arbitrary files via a crafted request result read function of the diagnostic component.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS