CVE-2026-11448
ŚrednieCVSS 4.7Streszczenie
Zidentyfikowano słabość w GL.iNet GL-MT3000 do wersji 4.4.5, która dotyczy funkcji realpath w pliku /rpc komponentu Minidlna Service. Manipulacja argumentem kube.set prowadzi do wstrzyknięcia poleceń.
Ocena ryzyka
Atak może być przeprowadzony zdalnie, co stwarza poważne zagrożenie dla bezpieczeństwa systemu i danych organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 4.7, która wprowadza globalną ochronę przed złośliwym wstrzyknięciem.
Oryginalny opis (angielski, źródło NVD)
A weakness has been identified in GL.iNet GL-MT3000 up to 4.4.5. The affected element is the function realpath of the file /rpc of the component Minidlna Service. This manipulation of the argument kube. set causes command injection. The attack is possible to be carried out remotely. Upgrading to version 4.7 is sufficient to fix this issue. It is recommended to upgrade the affected component. The vendor confirms: "Starting from version 4.7, SDK has added global protection to intercept malicious injection".

