CVE-2026-30603
ŚrednieCVSS 6.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 - wyżej niż 2% wszystkich znanych CVE
Streszczenie
Podatność w mechanizmie aktualizacji oprogramowania sprzętowego urządzenia Qianniao QN-L23PA0904 w wersji v20250721.1640 umożliwia atakującym uzyskanie dostępu root, instalację backdoorów oraz kradzież danych poprzez dostarczenie spreparowanego skryptu iu.sh umieszczonego na karcie SD.
Ocena ryzyka
Organizacja narażona jest na całkowite przejęcie kontroli nad urządzeniem, co może prowadzić do naruszenia poufności, integralności i dostępności danych oraz dalszych ataków w sieci wewnętrznej.
Rekomendacja
Należy natychmiast zablokować możliwość uruchamiania skryptów z kart SD w procesie aktualizacji oraz zastosować podpisywanie cyfrowe aktualizacji oprogramowania sprzętowego.
Oryginalny opis (angielski, źródło NVD)
An issue in the firmware update mechanism of Qianniao QN-L23PA0904 v20250721.1640 allows attackers to gain root access, install backdoors, and exfiltrate data via supplying a crafted iu.sh script contained in an SD card.

