CVE-2026-41924
KrytyczneStreszczenie
WDR201A WiFi Extender (HW V2.1, FW LFMZX28040922V1.02) zawiera podatność na wstrzykiwanie poleceń systemowych w binarnym pliku makeRequest.cgi. Umożliwia to nieautoryzowanym atakującym zdalne wykonanie dowolnych poleceń powłoki poprzez wstrzykiwanie złośliwego wejścia w funkcje set_time lub StartSniffer.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do zdalnego wykonywania poleceń, co może prowadzić do przejęcia kontroli nad urządzeniem i potencjalnie całym systemem sieciowym organizacji.
Rekomendacja
Zaleca się aktualizację oprogramowania urządzenia do najnowszej wersji, która eliminuje tę podatność oraz wdrożenie dodatkowych środków zabezpieczających, takich jak ograniczenie dostępu do interfejsu administracyjnego.
Oryginalny opis (angielski, źródło NVD)
WDR201A WiFi Extender (HW V2.1, FW LFMZX28040922V1.02) contains an OS command injection vulnerability in the makeRequest.cgi binary that allows unauthenticated remote attackers to execute arbitrary shell commands by injecting malicious input into the set_time or StartSniffer functions. Attackers can craft a POST request with specially crafted ampersand-delimited parameters to bypass input sanitization and execute commands with a maximum length of 31 bytes through the date command or channel parameter processing.

