VA MAX 8.3.4 Remote Code Execution via changeip.php

VA MAX 8.3.4 bevat een remote code execution kwetsbaarheid die geauthenticeerde aanvallers in staat stelt willekeurige commando's uit te voeren door shell metagebruikers in de mtu_eth0 parameter te injecteren. Aanvallers kunnen POST verzoeken naar het changeip.php endpoint sturen met een kwaadaardige payload in het mtu_eth0 veld om commando's uit te voeren als de apache gebruiker.