Krytyczna luka w oprogramowaniu ir315 umożliwiająca wykonanie poleceń z uprawnieniami ROOT

Krytyczna luka command injection w firmware ir315 InHand Networks umożliwia atakującym uzyskanie uprawnień ROOT na urządzeniach VPN.
CVE-2026-38704CVSS 9.8VPN

Krytyczna luka w oprogramowaniu ir315 umożliwiająca wykonanie poleceń z uprawnieniami ROOT

Krytyczna luka command injection w firmware ir315 InHand Networks umożliwia atakującym uzyskanie uprawnień ROOT na urządzeniach VPN.

CVSS
9.8 CRITICAL
EPSS
66.24%
Aktywnie wykorzystywana
brak w KEV
Produkt
ir315 firmware

Co wiadomo

W oprogramowaniu układowym InHand Networks IR315 (oraz IR302, IR305, IR615) wykryto krytyczną lukę typu command injection w funkcji WireGuard VPN. Atakujący mogą wykorzystać tę podatność do uzyskania uprawnień ROOT na zdalnych urządzeniach.

Wpływ biznesowy

Luka o wysokim poziomie ryzyka (CVSS 9.8) pozwala na przejęcie pełnej kontroli nad urządzeniami zdalnymi, co może prowadzić do poważnych naruszeń bezpieczeństwa sieci firmowej. Operatorzy infrastruktury VPN powinni traktować tę podatność jako priorytetową, aby zapobiec potencjalnym atakom i utracie danych.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji oprogramowania układowego u producenta InHand Networks oraz ich wdrożenie. W międzyczasie warto ograniczyć ekspozycję urządzeń na zewnętrzne sieci, monitorować logi pod kątem podejrzanej aktywności oraz priorytetyzować działania naprawcze w środowiskach korzystających z wymienionych wersji firmware.

Źródła