CVE-2023-25649
OS Command Injection Vulnerability in a Mobile Internet Product of ZTE
En resumen
Un dispositivo móvil ZTE tiene una vulnerabilidad que permite a un atacante autenticado inyectar y ejecutar comandos arbitrarios a través de una interfaz con validación insuficiente.
Detalle técnico
Inyección de comandos del sistema (CWE-77) en la interfaz SET_DEVICE_LED permite que un atacante autenticado ejecute comandos arbitrarios debido a validación inadecuada de parámetros. Requiere autenticación previa pero permite ejecución de comandos con privilegios del dispositivo.
Resumen generado y traducido por IA a partir de la descripción oficial.
There is a command injection vulnerability in a mobile internet product of ZTE. Due to insufficient validation of SET_DEVICE_LED interface parameter, an authenticated attacker could use the vulnerability to execute arbitrary commands.
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Productos afectados
ZTE · MF286R¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →