Критическая уязвимость в устройствах XSpeeder: вендор игнорирует предупреждения

Морда 29 декабря

Критическая уязвимость в устройствах XSpeeder: вендор игнорирует предупреждения

Данный текст является нейросетевым пересказом новости

Компания pwn.ai обнаружила критическую уязвимость нулевого дня (CVE-2025-54322) в сетевом оборудовании XSpeeder. Эта брешь позволяет злоумышленникам получить полный root-доступ к устройствам без ввода пароля, выполняя вредоносный код через параметр chkid. Уязвимость затрагивает около 70 тысяч устройств, включая роутеры, SD-WAN-аппараты и контроллеры смарт-ТВ, работающие на программном обеспечении SXZOS.

Открытие было сделано с помощью проприетарного ИИ-инструмента pwn.ai, который использует рой агентов для эмуляции устройств и сканирования на слабые места. Это первый случай, когда уязвимость нулевого дня, обнаруженная ИИ, была раскрыта публично.

Специалисты pwn.ai пытались связаться с китайским производителем XSpeeder в течение более семи месяцев, чтобы сообщить об уязвимости и способствовать ее устранению. Однако вендор не отреагировал на обращения, не выпустил патч и не опубликовал официальное предупреждение.

Уязвимость представляет значительный риск, поскольку для эксплуатации достаточно знать IP-адрес устройства. Злоумышленники могут мониторить трафик, красть данные или отключать системы, что особенно опасно для промышленных и филиальных сетей. В отсутствие исправления эксперты подчеркивают проблему игнорирования отчетов о уязвимостях со стороны производителей.