Критична вразливість командної ін'єкції у прошивці Tenda W30E
Виявлено критичну вразливість командної ін'єкції у прошивці Tenda W30E, що дозволяє виконувати довільні команди через usbPartitionName.
- CVSS
- 9.8 CRITICAL
- EPSS
- 79.89%
- Активно використовується
- немає в KEV
- Продукт
- w30e firmware
Що відомо
У прошивці Tenda W30E V2.0 V16.01.0.21 виявлено критичну вразливість командної ін'єкції через параметр usbPartitionName у функції formSetUSBPartitionUmount. Зловмисники можуть виконувати довільні команди на пристрої, використовуючи спеціально сформовані запити.
Бізнес-вплив
Ця вразливість може призвести до повного контролю над пристроєм, що ставить під загрозу мережеву інфраструктуру та конфіденційність даних. Для операторів ІТ та власників інфраструктури це означає високий ризик компрометації мережевих пристроїв і потенційні перебої в роботі сервісів.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень прошивки від виробника та застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до пристрою з ненадійних мереж, переглянути журнали подій на предмет підозрілої активності та підвищити пріоритет моніторингу цього пристрою.