CVE-2026-38571
ŚrednieCVSS 4.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
W nieuwierzytelnionej konsoli debugowania UART routera Tenda N300 F3 (wersja V603) dane uwierzytelniające WPA2 są przechowywane i udostępniane w postaci jawnego tekstu, a polecenia odczytu/zapisu pamięci (rr/wr) nie wymagają autoryzacji. Fizycznie bliski atakujący może uzyskać te dane oraz dowolnie odczytywać lub zapisywać pamięć przez port szeregowy.
Ocena ryzyka
Organizacja naraża się na kradzież haseł Wi-Fi oraz potencjalne przejęcie kontroli nad routerem, co może prowadzić do dalszych ataków na sieć wewnętrzną.
Rekomendacja
Należy natychmiast zaktualizować oprogramowanie routera Tenda N300 F3 do najnowszej wersji, jeśli producent udostępnił łatkę, lub rozważyć wymianę urządzenia na model z zabezpieczoną konsolą debugowania.
Oryginalny opis (angielski, źródło NVD)
Cleartext storage and exposure of WPA2 credentials, and missing authentication on the rr/wr memory read/write commands, in the unauthenticated UART debug console of the Tenda N300 F3 (V603) allow a physically proximate attacker to obtain stored WPA2 credentials in cleartext and to read or write arbitrary memory via the serial console.

