Критична вразливість командної ін'єкції у прошивці Tenda W30E

Виявлено критичну вразливість командної ін'єкції у прошивці Tenda W30E, що дозволяє виконувати довільні команди через usbPartitionName.
CVE-2026-38835CVSS 9.8General

Критична вразливість командної ін'єкції у прошивці Tenda W30E

Виявлено критичну вразливість командної ін'єкції у прошивці Tenda W30E, що дозволяє виконувати довільні команди через usbPartitionName.

CVSS
9.8 CRITICAL
EPSS
79.89%
Активно використовується
немає в KEV
Продукт
w30e firmware

Що відомо

У прошивці Tenda W30E V2.0 V16.01.0.21 виявлено критичну вразливість командної ін'єкції через параметр usbPartitionName у функції formSetUSBPartitionUmount. Зловмисники можуть виконувати довільні команди на пристрої, використовуючи спеціально сформовані запити.

Бізнес-вплив

Ця вразливість може призвести до повного контролю над пристроєм, що ставить під загрозу мережеву інфраструктуру та конфіденційність даних. Для операторів ІТ та власників інфраструктури це означає високий ризик компрометації мережевих пристроїв і потенційні перебої в роботі сервісів.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень прошивки від виробника та застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до пристрою з ненадійних мереж, переглянути журнали подій на предмет підозрілої активності та підвищити пріоритет моніторингу цього пристрою.

Джерела