Aviso de Segurança - Use of Uninitialized Variable Vulnerabilities (CVE-2025-10547)

No dia 22 de julho de 2025, foi identificada uma vulnerabilidade de segurança nos routers DrayOS. A vulnerabilidade pode ser accionada quando invasores remotos não autenticados enviam pedidos forjados de HTTP ou HTTPS para a interface de utilizador de Web (WebUl) do router. A exploração bem-sucedida pode causar corrupção de memória e falha do sistema, com o potencial, em determinadas circunstâncias, de permitir a execução remota de código.

Os routers estão protegidos contra ataques com origem da WAN se o acesso remoto aos serviços WebUl e SSL VPN estiverem desactivados ou se listas de controlo de acesso (ACLs) estiverem configuradas correctamente. No entanto, um invasor com acesso à rede local ainda pode explorar a vulnerabilidade através da WebUl. O acesso local à WebUl pode ser controlado em alguns modelos usando VLANs e ACLs do lado da LAN.
 

Esta vulnerabilidade foi identificada como:

• CVE-2025-10547: Use of Uninitialized Variable Vulnerabilities.

Para garantir protecção total, recomendamos vivamente actualizar o firmware do router para a versão mínima especificada abaixo: