Vulnerabilidad en TCIS-3+ de Zenitel (CVE-2025-59818)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-77
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
04/02/2026
Última modificación:
11/02/2026
Descripción
Esta vulnerabilidad permite a atacantes autenticados ejecutar comandos arbitrarios en el sistema subyacente usando el nombre de archivo de un archivo subido.
Impacto
Puntuación base 3.x
10.00
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:zenitel:tcis-3_firmware:*:*:*:*:*:*:*:* | 9.2.3.3 (excluyendo) | |
| cpe:2.3:h:zenitel:tcis-3:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://wiki.zenitel.com/wiki/Turbine_9.3_-_Release_notes
- https://wiki.zenitel.com/wiki/VSF-Display_Series_9.3_Release_Notes
- https://wiki.zenitel.com/wiki/VSF-Fortitude6_9.3_Release_Notes
- https://wiki.zenitel.com/wiki/VSF-Fortitude8_9.3_Release_Notes
- https://wiki.zenitel.com/wiki/ZIPS_9.3_-_Release_notes
- https://www.zenitel.com/sites/default/files/2025-12/A100K12333%20Zenitel%20Security%20Advisory.pdf