Krytyczna luka OS command injection w WDR201A WiFi Extender

Krytyczna luka OS command injection w WDR201A WiFi Extender umożliwia zdalne wykonanie kodu. Sprawdź zalecenia bezpieczeństwa i aktualizacje firmware.
CVE-2026-41925CVSS 9.3General

Krytyczna luka OS command injection w WDR201A WiFi Extender

Krytyczna luka OS command injection w WDR201A WiFi Extender umożliwia zdalne wykonanie kodu. Sprawdź zalecenia bezpieczeństwa i aktualizacje firmware.

CVSS
9.3 CRITICAL
EPSS
87.34%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

WDR201A WiFi Extender (HW V2.1, FW LFMZX28040922V1.02) zawiera krytyczną lukę OS command injection w funkcji reboot_time w pliku adm.cgi. Pozwala to nieautoryzowanym atakującym na zdalne wykonanie dowolnych poleceń powłoki poprzez złośliwe dane w parametrze reboot_time, gdy reboot_enabled=1.

Wpływ biznesowy

Luka umożliwia zdalne wykonanie kodu bez uwierzytelnienia, co może prowadzić do przejęcia kontroli nad urządzeniem i dalszej infiltracji sieci. Operatorzy IT powinni traktować tę podatność jako krytyczną, gdyż atakujący mogą zdalnie manipulować urządzeniem i potencjalnie zakłócać działanie infrastruktury sieciowej.

Rekomendowane działania administratora

Zaleca się natychmiastową weryfikację dostępności aktualizacji firmware od producenta oraz ich szybkie wdrożenie. W międzyczasie ogranicz dostęp do interfejsu administracyjnego urządzenia, monitoruj logi pod kątem podejrzanych żądań z parametrem reboot_time oraz rozważ segmentację sieci, aby ograniczyć potencjalny zasięg ataku.

Źródła