CVE-2026-5509
HighCVSS 7.2Summary
W routerach Archer BE450 v1 i BE7200 v1 występuje podatność na wstrzykiwanie poleceń, która pozwala uwierzytelnionemu administratorowi na wykonywanie dowolnych poleceń systemowych przez interfejs zarządzania w sieci. Po pomyślnym uwierzytelnieniu, atakujący może wykorzystać konsolę dewelopera przeglądarki, aby wprowadzić odpowiednio przygotowane dane, które są przekazywane do poleceń systemowych bez odpowiedniej sanitizacji.
Risk Assessment
Sukces w wykorzystaniu tej podatności umożliwia wykonywanie dowolnych poleceń z podwyższonymi uprawnieniami na urządzeniu, co może prowadzić do uruchamiania nieautoryzowanych usług, modyfikacji konfiguracji systemu lub całkowitego przejęcia środowiska operacyjnego routera.
Recommendation
Zaleca się natychmiastowe zaktualizowanie oprogramowania routera do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych środków zabezpieczających, takich jak ograniczenie dostępu do interfejsu zarządzania.
Original NVD description (English source)
An authenticated command injection vulnerability exists in the Archer BE450 v1 and BE7200 v1 router that allows an administrator to execute arbitrary system commands through the web management interface. After successfully authenticating to the admin interface, an attacker can leverage the browser’s developer console by supplying a crafted input that is passed to backend system commands without adequate sanitization. Successful exploitation enables execution of arbitrary commands with elevated privileges on the device, which may allow the attacker to start unauthorized services, modify system configuration, or otherwise fully compromise the router’s operating environment.

