← volver
CVE-2025-67038

CVE-2025-67038

CVSS 9.8 CRITICALEPSS 1.1%● KEVCWE-94
Vexday Risk Score
58Atención
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 9.8EPSS 1.1%KEV simPoC Nuclei Metasploit Patch
Ciclo de vida
11 mar 2026Publicada en NVD
23 jun 2026Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen

El dispositivo Lantronix EDS5000 permite que atacantes ejecuten comandos arbitrarios como root al inyectar código malicioso en el campo de nombre de usuario durante intentos de inicio de sesión. Un atacante puede obtener control total del dispositivo sin necesidad de credenciales válidas.

Detalle técnico

CWE-94 (Control Inadecuado de la Generación de Código) mediante inyección de comandos OS en el módulo RPC HTTP durante la escritura de registros. El parámetro username se concatena sin sanitización en un comando shell ejecutado tras fallos de autenticación, permitiendo ejecución remota de código no autenticada con privilegios root. No se requieren condiciones especiales más allá del acceso a la red en la interfaz HTTP.

Resumen generado y traducido por IA a partir de la descripción oficial.
An issue was discovered in Lantronix EDS5000 2.1.0.0R3. The HTTP RPC module executes a shell command to write logs when user's authantication fails. The username is directly concatenated with the command without any sanitization. This allow attackers to inject arbitrary OS commands into the username parameter. Injected commands are executed with root privileges.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →