CVE-2026-13539
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 37 — wyżej niż 37% wszystkich znanych CVE
Streszczenie
W urządzeniu Wavlink WL-NU516U1-A w wersji M16U1_V240425 wykryto podatność na przepełnienie bufora stosu w funkcji sub_407504 pliku /cgi-bin/wireless.cgi. Manipulacja argumentem Guest_ssid w komponencie POST Parameter Handler umożliwia zdalne wykonanie ataku. Exploit jest publicznie dostępny.
Ocena ryzyka
Atakujący może zdalnie przejąć kontrolę nad urządzeniem, co prowadzi do naruszenia integralności i dostępności sieci. Publicznie dostępny exploit zwiększa ryzyko szybkiego wykorzystania podatności.
Rekomendacja
Należy niezwłocznie zaktualizować oprogramowanie urządzenia Wavlink WL-NU516U1-A do najnowszej wersji wydanej przez producenta. Ograniczyć dostęp do interfejsu zarządzania tylko z zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was identified in Wavlink WL-NU516U1-A M16U1_V240425. The impacted element is the function sub_407504 of the file /cgi-bin/wireless.cgi of the component POST Parameter Handler. Such manipulation of the argument Guest_ssid leads to stack-based buffer overflow. The attack can be executed remotely. The exploit is publicly available and might be used. It is suggested to upgrade the affected component. The vendor was contacted early, responded in a very professional manner and quickly released a fixed version of the affected product.

