Katalog CVE

CVE-2026-11449

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.73%

Percentyl 73 - wyżej niż 73% wszystkich znanych CVE

Streszczenie

Wykryto podatność w GL.iNet GL-MT3000 w wersji 4.4.5, dotycząca funkcji rpc_sys w pliku /cgi-bin/luci/rpc interfejsu LuCI JSON-RPC. Manipulacja tą funkcją prowadzi do wstrzyknięcia poleceń.

Ocena ryzyka

Atakujący może zdalnie wykorzystać tę podatność do wykonania nieautoryzowanych poleceń, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację do wersji 4.8.1, aby usunąć tę podatność. Wersje firmware po 4.7.13 domyślnie nie instalują LuCI, co uniemożliwia wykorzystanie tej podatności.

Oryginalny opis (angielski, źródło NVD)

A security vulnerability has been detected in GL.iNet GL-MT3000 4.4.5. The impacted element is the function rpc_sys of the file /cgi-bin/luci/rpc of the component LuCI JSON-RPC Interface. Such manipulation leads to command injection. The attack may be performed from remote. Upgrading to version 4.8.1 is sufficient to resolve this issue. Upgrading the affected component is advised. The vendor confirms: "The issue discovered by the vulnerability researcher on older firmware versions(4.4.5) has actually been fixed and mitigated in the new version. According to the latest firmware fixes, by default, firmware versions after 4.7.13 do not install LuCI, so this vulnerability cannot be exploited."

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS