CVE-2026-27849
KrytyczneStreszczenie
Brak neutralizacji specjalnych elementów umożliwia wstrzykiwanie poleceń systemowych poprzez funkcjonalność aktualizacji połączenia TLS-SRP, która jest zazwyczaj używana do konfigurowania urządzeń w sieci mesh. Problem ten dotyczy modeli MR9600 w wersji 1.0.4.205530 oraz MX4200 w wersji 1.0.13.210200.
Ocena ryzyka
Wstrzykiwanie poleceń systemowych może prowadzić do nieautoryzowanego dostępu do systemu, co stwarza poważne zagrożenie dla bezpieczeństwa urządzeń i całej sieci. Organizacja może być narażona na ataki, które mogą prowadzić do utraty danych lub przejęcia kontroli nad urządzeniami.
Rekomendacja
Zaleca się aktualizację urządzeń do najnowszych wersji oprogramowania, które eliminują tę podatność. Dodatkowo, warto wdrożyć monitorowanie i zabezpieczenia, aby zminimalizować ryzyko wstrzykiwania poleceń systemowych.
Oryginalny opis (angielski, źródło NVD)
Due to missing neutralization of special elements, OS commands can be injected via the update functionality of a TLS-SRP connection, which is normally used for configuring devices inside the mesh network. This issue affects MR9600: 1.0.4.205530; MX4200: 1.0.13.210200.

