CVE-2025-66644
CVE-2025-66644
Em resumo
O ArrayOS AG da Array Networks versão anterior a 9.4.5.9 possui uma falha que permite que atacantes injetem e executem comandos arbitrários no sistema. Isso é crítico porque dá aos atacantes controle total sobre o dispositivo afetado.
Detalhe técnico
Vulnerabilidade de injeção de comando (CWE-78) no ArrayOS AG < 9.4.5.9 permite que atacantes sem autenticação ou com privilégios baixos executem comandos do sistema operacional arbitrários através de parâmetros de entrada não sanitizados. A falha foi explorada ativamente na natureza de agosto a dezembro de 2025, indicando alta exploitabilidade e potencial de comprometimento em massa de appliances vulneráveis.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Array Networks ArrayOS AG before 9.4.5.9 allows command injection, as exploited in the wild in August through December 2025.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Array Networks · ArrayOS AGQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://www.bleepingcomputer.com/news/security/hackers-are-exploiting-arrayos-ag-vpn-flaw-to-plant-webshells/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-66644https://www.jpcert.or.jp/at/2025/at250024.htmlhttps://x.com/ArraySupport/status/1921373397533032590