Opis podatności
CERT Polska otrzymał zgłoszenie o podatności w urządzeniach Slican NCP/IPL/IPM/IPU i koordynował proces ujawniania informacji.
Podatność CVE-2025-14577: Urządzenia Slican NCP/IPL/IPM/IPU są podatne na PHP Function Injection. Nieuwierzytelniony atakujący może zdalnie wykonać dowolne polecenia PHP, wysyłając specjalnie spreparowane żądania do endpointu /webcti/session_ajax.php.
Problem został naprawiony w wersji 1.24.0190 (Slican NCP) oraz 6.61.0010 (Slican IPL/IPM/IPU).
Podziękowania
Za zgłoszenie podatności dziękujemy Dariuszowi Gońdzie.
