Krytyczna luka OS Command Injection w WDR201A WiFi Extender

Krytyczna luka OS command injection w WDR201A WiFi Extender umożliwia zdalne wykonanie poleceń. Zalecane szybkie aktualizacje i ograniczenie ekspozycji urządzenia.
CVE-2026-41923CVSS 9.3General

Krytyczna luka OS Command Injection w WDR201A WiFi Extender

Krytyczna luka OS command injection w WDR201A WiFi Extender umożliwia zdalne wykonanie poleceń. Zalecane szybkie aktualizacje i ograniczenie ekspozycji urządzenia.

CVSS
9.3 CRITICAL
EPSS
83.55%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

WDR201A WiFi Extender (HW V2.1, FW LFMZX28040922V1.02) ma krytyczną lukę OS command injection w binarnym pliku internet.cgi, umożliwiającą zdalnym, nieautoryzowanym atakującym wykonanie dowolnych poleceń powłoki przez wstrzyknięcie złośliwego kodu w parametr gateway POST. Luka wynika z braku sanitacji danych w funkcji set_add_routing, co pozwala na wykonanie poleceń przez popen() i częściowe ujawnienie wyników w odpowiedzi HTTP.

Wpływ biznesowy

Ta luka stanowi poważne zagrożenie dla bezpieczeństwa sieci, ponieważ umożliwia atakującym zdalne wykonanie dowolnych poleceń na urządzeniu bez uwierzytelnienia. Może to prowadzić do przejęcia kontroli nad urządzeniem, eskalacji uprawnień oraz dalszych ataków na infrastrukturę sieciową. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo podejść do jej eliminacji.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji oprogramowania od producenta WDR201A WiFi Extender i ich zastosowanie. W przypadku braku łatki należy ograniczyć ekspozycję urządzenia w sieci, monitorować logi pod kątem podejrzanej aktywności oraz wdrożyć mechanizmy zapobiegające nieautoryzowanemu dostępowi. Priorytetem jest szybka reakcja i minimalizacja ryzyka wykorzystania luki.

Źródła