CVE-2026-13538
ŚrednieCVSS 6.3Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 67 — wyżej niż 67% wszystkich znanych CVE
Streszczenie
W urządzeniu Wavlink WL-NU516U1-A w wersji oprogramowania M16U1_V240425 wykryto podatność na wstrzykiwanie poleceń. Problem występuje w funkcji sub_401D68 pliku /cgi-bin/wireless.cgi, gdzie parametry SSID2G2, SSID5G2, AuthMethod2 i WPAPSK12 są nieprawidłowo przetwarzane. Atakujący może zdalnie wykorzystać tę lukę, a exploit został już opublikowany.
Ocena ryzyka
Organizacja narażona jest na zdalne przejęcie kontroli nad urządzeniem Wavlink, co może prowadzić do naruszenia integralności sieci, przechwycenia danych lub wykorzystania urządzenia jako punktu wejścia do dalszych ataków.
Rekomendacja
Należy niezwłocznie zaktualizować oprogramowanie urządzenia Wavlink WL-NU516U1-A do najnowszej wersji wydanej przez producenta, która usuwa tę podatność. Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsu zarządzania urządzeniem tylko z zaufanych adresów IP.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was determined in Wavlink WL-NU516U1-A M16U1_V240425. The affected element is the function sub_401D68 of the file /cgi-bin/wireless.cgi of the component POST Parameter Handler. This manipulation of the argument SSID2G2/SSID5G2/AuthMethod2/WPAPSK12 causes command injection. Remote exploitation of the attack is possible. The exploit has been publicly disclosed and may be utilized. The affected component should be upgraded. The vendor was contacted early, responded in a very professional manner and quickly released a fixed version of the affected product.

