Katalog CVE

CVE-2026-36356

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Bardzo wysokie ryzyko
14.41%

Percentyl 96 — wyżej niż 96% wszystkich znanych CVE

Streszczenie

W serwerze WWW GoAhead na urządzeniach MeiG Smart FORGE_SLT711 (oprogramowanie MDM9607.LE.1.0-00110-STD.PROD-1) wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego bez uwierzytelniania. Atak jest możliwy przez endpoint /action/SetRemoteAccessCfg.

Ocena ryzyka

Nieuwierzytelniony atakujący może zdalnie wykonać dowolne polecenia systemowe na urządzeniu, co prowadzi do pełnej kompromitacji urządzenia i potencjalnego przejęcia kontroli nad siecią.

Rekomendacja

Należy natychmiast zaktualizować oprogramowanie sprzętowe urządzeń MeiG Smart FORGE_SLT711 do wersji zawierającej poprawkę. Do czasu aktualizacji zaleca się ograniczenie dostępu do endpointu /action/SetRemoteAccessCfg za pomocą zapory sieciowej.

Oryginalny opis (angielski, źródło NVD)

The GoAhead web server on MeiG Smart FORGE_SLT711 devices (firmware MDM9607.LE.1.0-00110-STD.PROD-1) allows unauthenticated OS command injection via the /action/SetRemoteAccessCfg endpoint.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS