CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-38835

Critical
Published: Translated: NVD NIST

Summary

W urządzeniu Tenda W30E V2.0 w wersji V16.01.0.21 zidentyfikowano podatność na wstrzykiwanie poleceń w funkcji formSetUSBPartitionUmount poprzez parametr usbPartitionName. Ta podatność umożliwia atakującym wykonywanie dowolnych poleceń za pomocą odpowiednio skonstruowanego żądania.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa, ponieważ umożliwia atakującym zdalne wykonywanie poleceń, co może prowadzić do przejęcia kontroli nad urządzeniem. Organizacje powinny być świadome potencjalnych konsekwencji, takich jak utrata danych czy nieautoryzowany dostęp do sieci.

Recommendation

Zaleca się aktualizację oprogramowania urządzenia do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto ograniczyć dostęp do interfejsu zarządzania urządzeniem tylko do zaufanych użytkowników.

Original NVD description (English source)

Tenda W30E V2.0 V16.01.0.21 was found to contain a command injection vulnerability in the formSetUSBPartitionUmount function via the usbPartitionName parameter. This vulnerability allows attackers to execute arbitrary commands via a crafted request.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS