CVE-2025-13442

UTT 进取 750W formPdbUpConfig system command injection

CVSS 6.9 MEDIUMEPSS 17.6%CWE-74 CWE-77

Em resumo

Uma interface web em dispositivos UTT 进取 750W permite que invasores injetem comandos de sistema através de um parâmetro chamado policyNames. Um atacante pode executar comandos arbitrários no dispositivo remotamente sem precisar de autenticação.

Detalhe técnico

Vulnerabilidade de injeção de comando CWE-74/CWE-77 no endpoint /goform/formPdbUpConfig permite execução remota de código sem autenticação via parâmetro policyNames não sanitizado. A falha afeta UTT 进取 750W até versão 3.2.2-191225 e requer apenas acesso à rede para exploração; nenhuma autenticação é necessária.

Resumo gerado e traduzido por IA a partir da descrição oficial.

A security vulnerability has been detected in UTT 进取 750W up to 3.2.2-191225. Affected by this vulnerability is the function system of the file /goform/formPdbUpConfig. Such manipulation of the argument policyNames leads to command injection. The attack may be launched remotely. The exploit has been disclosed publicly and may be used. The vendor was contacted early about this disclosure but did not respond in any way.

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:P

Produtos afetados

UTT · 进取 750W

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/alc9700jmo/CVE/issues/20 https://vuldb.com/?ctiid.333015 https://vuldb.com/?id.333015 https://vuldb.com/?submit.688782