CVE-2026-12218
WysokieCVSS 8.0Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 29 - wyżej niż 29% wszystkich znanych CVE
Streszczenie
W urządzeniu Yealink SIP-T46U w wersji 108.87.50.1 wykryto podatność na przepełnienie bufora stosu. Problem występuje w funkcji StartReportInformation w pliku /api/inner/beforewifitest w ramach usługi Web FastCGI. Manipulacja argumentem port prowadzi do przepełnienia bufora stosu.
Ocena ryzyka
Atakujący z dostępem do sieci lokalnej może wykorzystać tę podatność do wykonania kodu lub spowodowania awarii urządzenia. Publicznie dostępny exploit zwiększa ryzyko ataku.
Rekomendacja
Należy niezwłocznie zastosować łatkę od producenta, gdy tylko zostanie udostępniona. Do tego czasu ogranicz dostęp do interfejsu zarządzania urządzenia tylko do zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was detected in Yealink SIP-T46U 108.87.50.1. The affected element is the function StartReportInformation of the file /api/inner/beforewifitest of the component Web FastCGI Service. The manipulation of the argument port results in stack-based buffer overflow. Access to the local network is required for this attack. The exploit is now public and may be used. The vendor was contacted early about this disclosure and is working on a patch to fix it.

