CVE-2026-36356
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Bardzo wysokie ryzykoPercentyl 96 — wyżej niż 96% wszystkich znanych CVE
Streszczenie
W serwerze WWW GoAhead na urządzeniach MeiG Smart FORGE_SLT711 (oprogramowanie MDM9607.LE.1.0-00110-STD.PROD-1) wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego bez uwierzytelniania. Atak jest możliwy przez endpoint /action/SetRemoteAccessCfg.
Ocena ryzyka
Nieuwierzytelniony atakujący może zdalnie wykonać dowolne polecenia systemowe na urządzeniu, co prowadzi do pełnej kompromitacji urządzenia i potencjalnego przejęcia kontroli nad siecią.
Rekomendacja
Należy natychmiast zaktualizować oprogramowanie sprzętowe urządzeń MeiG Smart FORGE_SLT711 do wersji zawierającej poprawkę. Do czasu aktualizacji zaleca się ograniczenie dostępu do endpointu /action/SetRemoteAccessCfg za pomocą zapory sieciowej.
Oryginalny opis (angielski, źródło NVD)
The GoAhead web server on MeiG Smart FORGE_SLT711 devices (firmware MDM9607.LE.1.0-00110-STD.PROD-1) allows unauthenticated OS command injection via the /action/SetRemoteAccessCfg endpoint.

