CVE-2023-25649
OS Command Injection Vulnerability in a Mobile Internet Product of ZTE
Em resumo
Um dispositivo móvel ZTE possui uma falha que permite a um atacante autenticado injetar e executar comandos arbitrários através de uma interface com validação insuficiente.
Detalhe técnico
Injeção de comando do sistema (CWE-77) na interface SET_DEVICE_LED permite que um atacante autenticado execute comandos arbitrários devido à validação inadequada dos parâmetros. Requer autenticação prévia, mas permite execução de comandos com privilégios do dispositivo.
Resumo gerado e traduzido por IA a partir da descrição oficial.
There is a command injection vulnerability in a mobile internet product of ZTE. Due to insufficient validation of SET_DEVICE_LED interface parameter, an authenticated attacker could use the vulnerability to execute arbitrary commands.
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
ZTE · MF286RQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →