CVE-2025-54322

Опубликовано: 27 дек. 2025

Источник: nvd

CVSS3: 10

CVSS3: 9.8

EPSS Низкий

Описание

Xspeeder SXZOS through 2025-12-26 allows root remote code execution via base64-encoded Python code in the chkid parameter to vLogin.py. The title and oIP parameters are also used.

Ссылки

https://pwn.ai/blog/cve-2025-54322-zeroday-unauthenticated-root-rce-affecting-70-000-hosts
Exploit
Third Party Advisory
https://www.xspeeder.com
Product
https://pwn.ai/blog/cve-2025-54322-zeroday-unauthenticated-root-rce-affecting-70-000-hosts
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:o:xspeeder:sxzos:*:*:*:*:*:*:*:*

Версия до 2025-12-26 (включая)

EPSS

Процентиль: 37%

0.00157

Низкий

10 Critical

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-95

CWE-94

Связанные уязвимости

GHSA-2qm6-vprh-vgfc

CVSS3: 10

github

около 1 месяца назад

Xspeeder SXZOS through 2025-12-26 allows root remote code execution via base64-encoded Python code in the chkid parameter to vLogin.py. The title and oIP parameters are also used.

EPSS

Процентиль: 37%

0.00157

Низкий

10 Critical

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-95

CWE-94