Vulnerabilities ›

CVE-2019-3929

Critical 🇺🇸 CISA KEV ⚡ Exploit Available

Crestron Multiple Products Command Injection Vulnerability — Multiple Crestron products are vulnerable to command injection via the file_transfer.cgi HTTP endpoint. A remote, unauthenticated attacker

                    Published: Apr 15, 2022                                          ·  Source: CISA_KEV                

CVSS v3

9.0

🔗 NVD Official

📄 Description (English)

🤖 AI Executive Summary

Multiple Crestron products contain a critical command injection vulnerability in the file_transfer.cgi endpoint that allows unauthenticated remote attackers to execute arbitrary OS commands with root privileges. This vulnerability affects building automation and control systems widely deployed in enterprise environments.

📄 Description (Arabic)

تؤثر هذه الثغرة على أنظمة التحكم في المباني من Crestron المستخدمة في الفنادق والمستشفيات والمباني الحكومية والمؤسسات. يمكن للمهاجمين الوصول إلى الأنظمة دون مصادقة والتحكم الكامل بها. الخطر الحرج يكمن في إمكانية تعطيل البنية التحتية الحيوية والوصول إلى الأنظمة المتصلة.

🤖 ملخص تنفيذي (AI)

عدة منتجات Crestron تحتوي على ثغرة حقن أوامر حرجة في نقطة نهاية file_transfer.cgi تسمح للمهاجمين البعيدين غير المصرحين بتنفيذ أوامر نظام تشغيل عشوائية بامتيازات الجذر. تؤثر هذه الثغرة على أنظمة أتمتة المباني والتحكم المنتشرة على نطاق واسع في بيئات المؤسسات.

🤖 AI Intelligence Analysis Analyzed: Apr 24, 2026 14:49

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government healthcare banking energy

🎯 MITRE ATT&CK Techniques

T1190 T1133 T1059

⚖️ Saudi Risk Score (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Immediately update all affected Crestron products to patched versions. Disable or restrict access to the file_transfer.cgi endpoint using network segmentation and firewall rules. Implement network-based intrusion detection to monitor for exploitation attempts. Conduct a security audit of all Crestron deployments to identify vulnerable instances.

🔧 خطوات المعالجة (العربية)

قم بتحديث جميع منتجات Crestron المتأثرة إلى الإصدارات المصححة فوراً. قم بتعطيل أو تقييد الوصول إلى نقطة نهاية file_transfer.cgi باستخدام تقسيم الشبكة وقواعد جدار الحماية. قم بتنفيذ كشف الاختراق على مستوى الشبكة لمراقبة محاولات الاستغلال. أجرِ تدقيقاً أمنياً لجميع نشرات Crestron لتحديد الحالات الضعيفة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.7.1 A.8.1 A.12.2 A.13.1

🔵 SAMA CSF

ID.BE-1 PR.AC-1 PR.AC-3 DE.CM-1

🟡 ISO 27001:2022

A.5.1 A.6.1 A.12.6 A.13.1

🔗 References & Sources 0

No references.

📦 Affected Products / CPE 1 entries

Crestron:Multiple Products

📊 CVSS Score

9.0

/ 10.0 — Critical

📋 Quick Facts

Severity Critical

CVSS Score9.0

EPSS94.34%

Exploit ✓ Yes

Patch ✓ Yes

CISA KEV🇺🇸 Yes

KEV Due Date2022-05-06

Published 2022-04-15

Source Feed cisa_kev

🇸🇦 Saudi Risk Score

9.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

kev actively-exploited

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 Comments

Loading comments

CVE-2019-3929

💬 Comments

Introduce Yourself

Sign In Required