Katalog CVE

CVE-2026-22313

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.92%

Percentyl 56 — wyżej niż 56% wszystkich znanych CVE

Streszczenie

Urządzenie posiada serwer WWW, który udostępnia interfejs API REST, autoryzowany za pomocą tokena w sieci zarządzającej. Wykorzystując podatność na wstrzykiwanie poleceń systemowych, uwierzytelniony atakujący może wysyłać dowolne polecenia do urządzenia, które są wykonywane z uprawnieniami administracyjnymi przez system operacyjny.

Ocena ryzyka

Atakujący z dostępem do sieci zarządzającej może uzyskać pełną kontrolę nad urządzeniem, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się zabezpieczenie interfejsu API poprzez wprowadzenie dodatkowych mechanizmów autoryzacji oraz regularne aktualizowanie oprogramowania urządzenia w celu eliminacji znanych podatności.

Oryginalny opis (angielski, źródło NVD)

The device has a webserver that exposes a REST API authenticated with a token on the management network. By exploiting an OS command injection vulnerability an authenticated attacker can send arbitrary commands to the device that are executed with administrative permissions by the underlying operating system.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS