CVE-2026-27849
CriticalSummary
Brak neutralizacji specjalnych elementów umożliwia wstrzykiwanie poleceń systemowych poprzez funkcjonalność aktualizacji połączenia TLS-SRP, która jest zazwyczaj używana do konfigurowania urządzeń w sieci mesh. Problem ten dotyczy modeli MR9600 w wersji 1.0.4.205530 oraz MX4200 w wersji 1.0.13.210200.
Risk Assessment
Wstrzykiwanie poleceń systemowych może prowadzić do nieautoryzowanego dostępu do systemu, co stwarza poważne zagrożenie dla bezpieczeństwa urządzeń i całej sieci. Organizacja może być narażona na ataki, które mogą prowadzić do utraty danych lub przejęcia kontroli nad urządzeniami.
Recommendation
Zaleca się aktualizację urządzeń do najnowszych wersji oprogramowania, które eliminują tę podatność. Dodatkowo, warto wdrożyć monitorowanie i zabezpieczenia, aby zminimalizować ryzyko wstrzykiwania poleceń systemowych.
Original NVD description (English source)
Due to missing neutralization of special elements, OS commands can be injected via the update functionality of a TLS-SRP connection, which is normally used for configuring devices inside the mesh network. This issue affects MR9600: 1.0.4.205530; MX4200: 1.0.13.210200.

