Krytyczna luka w oprogramowaniu Tenda W30E umożliwiająca wykonanie poleceń
Krytyczna luka w firmware Tenda W30E umożliwia zdalne wykonanie poleceń. Sprawdź zalecenia bezpieczeństwa i aktualizacje.
- CVSS
- 9.8 CRITICAL
- EPSS
- 79.89%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- w30e firmware
Co wiadomo
W oprogramowaniu Tenda W30E V2.0 V16.01.0.21 wykryto krytyczną lukę typu command injection w funkcji formSetUSBPartitionUmount, umożliwiającą wykonanie dowolnych poleceń przez parametr usbPartitionName. Atakujący mogą wykorzystać tę podatność do zdalnego wykonania kodu.
Wpływ biznesowy
Luka o wysokim poziomie ryzyka (CVSS 9.8) może prowadzić do przejęcia kontroli nad urządzeniem, co zagraża integralności i dostępności sieci oraz danych. Operatorzy infrastruktury powinni traktować tę podatność jako priorytetową ze względu na możliwość zdalnego wykonania poleceń i potencjalne naruszenia bezpieczeństwa.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji oprogramowania od producenta Tenda oraz ich wdrożenie. W międzyczasie ograniczyć dostęp do interfejsów zarządzania urządzeniem, monitorować logi pod kątem podejrzanych działań oraz stosować zasady minimalizacji ekspozycji urządzenia w sieci.