Een ernstige kwetsbaarheid, CVE-2025-7414, is ontdekt in de Tenda O3V2 versie 1.0.0.12(3880), betreffende een OS-commandinjectie in de httpd module. Dit lek kan op afstand worden misbruikt, waardoor een aanvaller zonder medeweten controle over uw systeem kan krijgen.
Overzicht
De kwetsbaarheid treft de functie fromNetToolGet van het bestand /goform/setPingInfo. Door de manipulatie van het argument domain is er een mogelijkheid tot OS-commandinjectie, wat aangemerkt is als kritiek. Een openbaar exploit is beschikbaar, wat het risico vergroot.
Versie: Tenda O3V2 1.0.0.12(3880)
Aanbevelingen
- Controleer uw Tenda O3V2-apparaat op de specifieke firmware versie 1.0.0.12(3880) en werk indien mogelijk onmiddellijk bij naar een beveiligde versie.
- Beperk externe toegang tot de beheerinterface van het apparaat totdat een patch is toegepast.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-7414?
Het betreft een OS-commandinjectie kwetsbaarheid in de Tenda O3V2 router, waardoor een aanvaller ongeoorloofde toegang tot het systeem kan verkrijgen.
Welke systemen zijn kwetsbaar voor CVE-2025-7414?
Tenda O3V2 systemen met firmware versie 1.0.0.12(3880) zijn getroffen.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment zijn er nog geen specifieke updates of patches aangekondigd. Het wordt aangeraden de systeembeveiliging te versterken totdat een officiële update beschikbaar is.
Wat kan een aanvaller met deze kwetsbaarheid?
Met deze kwetsbaarheid kan een aanvaller willekeurige OS-commando’s uitvoeren via de kwetsbare fromNetToolGet functie van de router.
Let op: Omdat een exploit reeds openbaar is, verhoogt dit het risico dat uw systeem snel misbruikt wordt zonder patch.
