Krytyczna luka OS command injection w WDR201A WiFi Extender umożliwia zdalne wykonanie kodu

Krytyczna luka OS command injection w WDR201A WiFi Extender pozwala na zdalne wykonanie kodu bez uwierzytelniania. Sprawdź zalecenia bezpieczeństwa.
CVE-2026-41922CVSS 9.3General

Krytyczna luka OS command injection w WDR201A WiFi Extender umożliwia zdalne wykonanie kodu

Krytyczna luka OS command injection w WDR201A WiFi Extender pozwala na zdalne wykonanie kodu bez uwierzytelniania. Sprawdź zalecenia bezpieczeństwa.

CVSS
9.3 CRITICAL
EPSS
91.16%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

WDR201A WiFi Extender (HW V2.1, FW LFMZX28040922V1.02) posiada krytyczną lukę OS command injection w pliku wireless.cgi, pozwalającą nieautoryzowanym atakującym na zdalne wykonanie dowolnych poleceń powłoki poprzez parametry POST sz11gChannel lub PIN. Luka wynika z braku odpowiedniej walidacji w funkcjach set_wifi_basic i set_wifi_do_wps.

Wpływ biznesowy

Ta luka umożliwia zdalnym, nieautoryzowanym napastnikom pełne przejęcie urządzenia, co może prowadzić do poważnych naruszeń bezpieczeństwa sieci i infrastruktury IT. Operatorzy powinni traktować tę podatność jako krytyczną, ponieważ atakujący mogą uzyskać kontrolę nad urządzeniem bez konieczności uwierzytelniania, co zwiększa ryzyko rozprzestrzeniania się zagrożeń i utraty danych.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji oprogramowania od producenta WDR201A WiFi Extender i ich wdrożenie. W międzyczasie ograniczyć dostęp do interfejsu zarządzania urządzeniem, monitorować logi pod kątem podejrzanej aktywności oraz rozważyć segmentację sieci, aby zmniejszyć potencjalny wpływ ataku.

Źródła