CVE-2026-41925
KrytyczneStreszczenie
WDR201A WiFi Extender (HW V2.1, FW LFMZX28040922V1.02) zawiera podatność na wstrzyknięcie poleceń systemowych w funkcji reboot_time binarnego pliku adm.cgi. Umożliwia to nieautoryzowanym atakującym zdalne wykonywanie dowolnych poleceń powłoki poprzez wstrzyknięcie złośliwego wejścia do parametru POST reboot_time.
Ocena ryzyka
Atakujący mogą wykorzystać tę podatność do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla bezpieczeństwa systemu oraz danych organizacji.
Rekomendacja
Zaleca się aktualizację oprogramowania urządzenia do najnowszej wersji, która eliminuje tę podatność oraz wdrożenie odpowiednich środków zabezpieczających, aby ograniczyć dostęp do interfejsu administracyjnego.
Oryginalny opis (angielski, źródło NVD)
WDR201A WiFi Extender (HW V2.1, FW LFMZX28040922V1.02) contains an OS command injection vulnerability in the adm.cgi binary's reboot_time function that allows unauthenticated remote attackers to execute arbitrary shell commands by injecting malicious input into the reboot_time POST parameter. Attackers can send a crafted request with shell metacharacters in the reboot_time parameter when reboot_enabled=1 to achieve remote code execution.

