CVE-2025-67038
El dispositivo Lantronix EDS5000 permite que atacantes ejecuten comandos arbitrarios como root al inyectar código malicioso en el campo de nombre de usuario durante intentos de inicio de sesión. Un atacante puede obtener control total del dispositivo sin necesidad de credenciales válidas.
CWE-94 (Control Inadecuado de la Generación de Código) mediante inyección de comandos OS en el módulo RPC HTTP durante la escritura de registros. El parámetro username se concatena sin sanitización en un comando shell ejecutado tras fallos de autenticación, permitiendo ejecución remota de código no autenticada con privilegios root. No se requieren condiciones especiales más allá del acceso a la red en la interfaz HTTP.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →