CVE-2025-13442
UTT 进取 750W formPdbUpConfig system command injection
En resumen
Una interfaz web en dispositivos UTT 进取 750W permite que atacantes inyecten comandos de sistema a través de un parámetro llamado policyNames. Un atacante puede ejecutar comandos arbitrarios en el dispositivo de forma remota sin necesidad de autenticación.
Detalle técnico
Vulnerabilidad de inyección de comandos CWE-74/CWE-77 en el endpoint /goform/formPdbUpConfig permite ejecución remota de código sin autenticación mediante el parámetro policyNames no sanitizado. La falla afecta UTT 进取 750W hasta versión 3.2.2-191225 y requiere solo acceso de red para explotación; no se requiere autenticación.
Resumen generado y traducido por IA a partir de la descripción oficial.
A security vulnerability has been detected in UTT 进取 750W up to 3.2.2-191225. Affected by this vulnerability is the function system of the file /goform/formPdbUpConfig. Such manipulation of the argument policyNames leads to command injection. The attack may be launched remotely. The exploit has been disclosed publicly and may be used. The vendor was contacted early about this disclosure but did not respond in any way.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P
Productos afectados
UTT · 进取 750W¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →