CVE-2026-30701
CriticalSummary
Interfejs webowy wzmacniacza WiFi WDR201A (HW V2.1, FW LFMZX28040922V1.02) zawiera mechanizmy ujawniania twardo zakodowanych poświadczeń w wielu stronach serwera, w tym login.shtml i settings.shtml. Strony te osadzają dyrektywy wykonawcze po stronie serwera, które dynamicznie pobierają i ujawniają hasło administracyjne z pamięci nieulotnej w czasie rzeczywistym.
Risk Assessment
Ujawnienie twardo zakodowanych poświadczeń może prowadzić do nieautoryzowanego dostępu do interfejsu administracyjnego, co stwarza poważne zagrożenie dla bezpieczeństwa sieci. Organizacje mogą być narażone na ataki, które mogą prowadzić do przejęcia kontroli nad urządzeniem.
Recommendation
Zaleca się aktualizację oprogramowania urządzenia do najnowszej wersji, która eliminuje te luki. Dodatkowo, należy ograniczyć dostęp do interfejsu administracyjnego tylko do zaufanych adresów IP.
Original NVD description (English source)
The web interface of the WiFi Extender WDR201A (HW V2.1, FW LFMZX28040922V1.02) contains hardcoded credential disclosure mechanisms (in the form of Server Side Include) within multiple server-side web pages, including login.shtml and settings.shtml. These pages embed server-side execution directives that dynamically retrieve and expose the web administration password from non-volatile memory at runtime.

