CVE-2025-67038
KEV
🔴 Łataj teraz
Wstrzyknięcie poleceń w Lantronix EDS5000 umożliwia atakującym wykonanie dowolnych poleceń systemowych z uprawnieniami roota.
CVSS
9.8
EPSS
1.1%
Exploit
weaponized
Vendor
lantronix
Opis źródłowy (NVD)
An issue was discovered in Lantronix EDS5000 2.1.0.0R3. The HTTP RPC module executes a shell command to write logs when user's authantication fails. The username is directly concatenated with the command without any sanitization. This allow attackers to inject arbitrary OS commands into the username parameter. Injected commands are executed with root privileges.
brak
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 9.8 |
| CISA KEV (aktywnie wykorzystywane) | Tak |
| FIRST EPSS (prawdopodobieństwo exploita) | 1.1% |
| Opublikowano (NVD) | 2026-03-11 17:16:52 UTC |
| Ostatnia modyfikacja (NVD) | 2026-06-24 05:17:25 UTC |
Referencje
- http://eds5000.com (cve@mitre.org) [Broken Link]
- http://lantronix.com (cve@mitre.org) [Product]
- https://www.cisa.gov/news-events/ics-advisories/icsa-26-069-02 (cve@mitre.org) [Third Party Advisory, VDB Entry]
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-67038 (134c704f-9b21-4f2e-91b3-4a467353bcc0) [US Government Resource]