Katalog CVE

CVE-2026-24101

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W urządzeniu Tenda AC15V1.0 V15.03.05.18_multi odkryto problem w goform/formSetIptv, który może prowadzić do podatności na wstrzyknięcie poleceń. W przypadku spełnienia określonych warunków, wartość `s1_1` jest przekazywana do sub_B0488 i łączona w `doSystemCmd`, bez walidacji.

Ocena ryzyka

Potencjalne wstrzyknięcie poleceń może umożliwić atakującemu wykonanie dowolnych komend systemowych, co stanowi poważne zagrożenie dla bezpieczeństwa urządzenia i sieci.

Rekomendacja

Zaleca się aktualizację oprogramowania urządzenia do najnowszej wersji, która naprawia tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających, takich jak filtrowanie danych wejściowych.

Oryginalny opis (angielski, źródło NVD)

An issue was discovered in goform/formSetIptv in Tenda AC15V1.0 V15.03.05.18_multi. When the condition is met, `s1_1` will be passed into sub_B0488, concatenated into `doSystemCmd`. The value of s1_1 is not validated, potentially leading to a command injection vulnerability.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS