CVE-2026-24101
KrytyczneStreszczenie
W urządzeniu Tenda AC15V1.0 V15.03.05.18_multi odkryto problem w goform/formSetIptv, który może prowadzić do podatności na wstrzyknięcie poleceń. W przypadku spełnienia określonych warunków, wartość `s1_1` jest przekazywana do sub_B0488 i łączona w `doSystemCmd`, bez walidacji.
Ocena ryzyka
Potencjalne wstrzyknięcie poleceń może umożliwić atakującemu wykonanie dowolnych komend systemowych, co stanowi poważne zagrożenie dla bezpieczeństwa urządzenia i sieci.
Rekomendacja
Zaleca się aktualizację oprogramowania urządzenia do najnowszej wersji, która naprawia tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających, takich jak filtrowanie danych wejściowych.
Oryginalny opis (angielski, źródło NVD)
An issue was discovered in goform/formSetIptv in Tenda AC15V1.0 V15.03.05.18_multi. When the condition is met, `s1_1` will be passed into sub_B0488, concatenated into `doSystemCmd`. The value of s1_1 is not validated, potentially leading to a command injection vulnerability.

