CVE-2026-31927
ŚrednieCVSS 4.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 - wyżej niż 28% wszystkich znanych CVE
Streszczenie
Podatność w oprogramowaniu układowym Anviz CX7 umożliwia uwierzytelnionemu atakującemu przesłanie pliku CSV z manipulacją ścieżką (path traversal), co pozwala nadpisać dowolne pliki, w tym /etc/shadow. W połączeniu ze zmianami ustawień debugowania może to prowadzić do nieautoryzowanego dostępu SSH.
Ocena ryzyka
Ryzyko polega na możliwości przejęcia kontroli nad urządzeniem przez atakującego z uwierzytelnieniem, co może skutkować pełnym dostępem do systemu i dalszymi atakami w sieci.
Rekomendacja
Należy natychmiast zaktualizować oprogramowanie układowe Anviz CX7 do najnowszej wersji oraz ograniczyć dostęp do panelu administracyjnego tylko do zaufanych adresów IP.
Oryginalny opis (angielski, źródło NVD)
Anviz CX7 Firmware is vulnerable to an authenticated CSV upload which allows path traversal to overwrite arbitrary files (e.g., /etc/shadow), enabling unauthorized SSH access when combined with debug‑setting changes.

