Krytyczna luka OS command injection w WDR201A WiFi Extender

Krytyczna luka OS command injection w WDR201A WiFi Extender umożliwia zdalne wykonanie poleceń. Sprawdź zalecenia bezpieczeństwa i aktualizacje firmware.
CVE-2026-41924CVSS 9.3General

Krytyczna luka OS command injection w WDR201A WiFi Extender

Krytyczna luka OS command injection w WDR201A WiFi Extender umożliwia zdalne wykonanie poleceń. Sprawdź zalecenia bezpieczeństwa i aktualizacje firmware.

CVSS
9.3 CRITICAL
EPSS
84.15%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

WDR201A WiFi Extender (HW V2.1, FW LFMZX28040922V1.02) ma krytyczną lukę OS command injection w pliku makeRequest.cgi, umożliwiającą zdalnym, nieautoryzowanym atakującym wykonanie dowolnych poleceń shell. Luka dotyczy funkcji set_time i StartSniffer, gdzie można wstrzyknąć złośliwe dane przez specjalnie spreparowane parametry POST.

Wpływ biznesowy

Ta luka o wysokim poziomie CVSS 9.3 pozwala atakującym na przejęcie kontroli nad urządzeniem poprzez wykonanie dowolnych poleceń systemowych. Może to prowadzić do poważnych naruszeń bezpieczeństwa sieci, utraty danych oraz wykorzystania urządzenia do dalszych ataków. Operatorzy powinni traktować tę lukę jako krytyczną i priorytetowo ją adresować.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji firmware od producenta WDR201A WiFi Extender oraz ich wdrożenie. W przypadku braku łatki należy ograniczyć dostęp do urządzenia z sieci zewnętrznych, monitorować logi pod kątem podejrzanych żądań POST i rozważyć tymczasowe wyłączenie funkcji makeRequest.cgi. Priorytetowo należy ocenić ryzyko i wdrożyć środki zapobiegawcze minimalizujące ekspozycję urządzenia.

Źródła