CVE-2026-41922
KrytyczneStreszczenie
WDR201A WiFi Extender (HW V2.1, FW LFMZX28040922V1.02) zawiera podatność na wstrzyknięcie poleceń systemowych w binarnym pliku wireless.cgi, co pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń powłoki poprzez wstrzykiwanie złośliwego wejścia w parametrach POST sz11gChannel lub PIN. Atakujący mogą wykorzystać nieprawidłowe przetwarzanie parametrów w funkcjach set_wifi_basic i set_wifi_do_wps do zdalnego wykonania kodu bez autoryzacji.
Ocena ryzyka
Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne wykonywanie kodu, co może prowadzić do przejęcia kontroli nad urządzeniem oraz dostępu do sieci lokalnej.
Rekomendacja
Zaleca się aktualizację oprogramowania urządzenia do najnowszej wersji, która naprawia tę podatność oraz wdrożenie odpowiednich środków zabezpieczających, aby ograniczyć dostęp do urządzenia tylko dla autoryzowanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
WDR201A WiFi Extender (HW V2.1, FW LFMZX28040922V1.02) contains an OS command injection vulnerability in the wireless.cgi binary that allows unauthenticated remote attackers to execute arbitrary shell commands by injecting malicious input into the sz11gChannel or PIN POST parameters. Attackers can exploit unsanitized parameter handling in the set_wifi_basic and set_wifi_do_wps functions to achieve remote code execution without authentication.

