CVE-2025-66737
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 45 - wyżej niż 45% wszystkich znanych CVE
Streszczenie
W telefonie Yealink T21P_E2 w wersji 52.84.0.15 wykryto podatność na przechodzenie do katalogów. Zdalny atakujący z podstawowymi uprawnieniami może odczytać dowolne pliki poprzez spreparowane żądanie do funkcji odczytu wyników komponentu diagnostycznego.
Ocena ryzyka
Atakujący może uzyskać dostęp do poufnych plików systemowych, takich jak konfiguracje czy dane uwierzytelniające, co może prowadzić do eskalacji uprawnień lub wycieku danych.
Rekomendacja
Należy natychmiast zaktualizować oprogramowanie telefonu do najnowszej wersji dostępnej u producenta oraz ograniczyć dostęp do interfejsu diagnostycznego tylko dla zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
Yealink T21P_E2 Phone 52.84.0.15 is vulnerable to Directory Traversal. A remote normal privileged attacker can read arbitrary files via a crafted request result read function of the diagnostic component.

