Katalog CVE

CVE-2026-38835

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W urządzeniu Tenda W30E V2.0 w wersji V16.01.0.21 zidentyfikowano podatność na wstrzykiwanie poleceń w funkcji formSetUSBPartitionUmount poprzez parametr usbPartitionName. Ta podatność umożliwia atakującym wykonywanie dowolnych poleceń za pomocą odpowiednio skonstruowanego żądania.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa, ponieważ umożliwia atakującym zdalne wykonywanie poleceń, co może prowadzić do przejęcia kontroli nad urządzeniem. Organizacje powinny być świadome potencjalnych konsekwencji, takich jak utrata danych czy nieautoryzowany dostęp do sieci.

Rekomendacja

Zaleca się aktualizację oprogramowania urządzenia do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto ograniczyć dostęp do interfejsu zarządzania urządzeniem tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Tenda W30E V2.0 V16.01.0.21 was found to contain a command injection vulnerability in the formSetUSBPartitionUmount function via the usbPartitionName parameter. This vulnerability allows attackers to execute arbitrary commands via a crafted request.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS