Exécution de code à distance dans VA MAX 8.3.4 via changeip.php

VA MAX 8.3.4 contient une vulnérabilité d'exécution de code à distance qui permet à des attaquants authentifiés d'exécuter des commandes arbitraires en injectant des métacaractères de shell dans le paramètre mtu_eth0. Les attaquants peuvent envoyer des requêtes POST vers le point de terminaison changeip.php avec une charge utile malveillante dans le champ mtu_eth0 afin d'exécuter des commandes en tant qu'utilisateur apache.