CVE-2026-11449
ŚrednieCVSS 6.3Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 73 - wyżej niż 73% wszystkich znanych CVE
Streszczenie
Wykryto podatność w GL.iNet GL-MT3000 w wersji 4.4.5, dotycząca funkcji rpc_sys w pliku /cgi-bin/luci/rpc interfejsu LuCI JSON-RPC. Manipulacja tą funkcją prowadzi do wstrzyknięcia poleceń.
Ocena ryzyka
Atakujący może zdalnie wykorzystać tę podatność do wykonania nieautoryzowanych poleceń, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację do wersji 4.8.1, aby usunąć tę podatność. Wersje firmware po 4.7.13 domyślnie nie instalują LuCI, co uniemożliwia wykorzystanie tej podatności.
Oryginalny opis (angielski, źródło NVD)
A security vulnerability has been detected in GL.iNet GL-MT3000 4.4.5. The impacted element is the function rpc_sys of the file /cgi-bin/luci/rpc of the component LuCI JSON-RPC Interface. Such manipulation leads to command injection. The attack may be performed from remote. Upgrading to version 4.8.1 is sufficient to resolve this issue. Upgrading the affected component is advised. The vendor confirms: "The issue discovered by the vulnerability researcher on older firmware versions(4.4.5) has actually been fixed and mitigated in the new version. According to the latest firmware fixes, by default, firmware versions after 4.7.13 do not install LuCI, so this vulnerability cannot be exploited."

