Katalog CVE

CVE-2026-38142

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.69%

Percentyl 48 — wyżej niż 48% wszystkich znanych CVE

Streszczenie

W urządzeniu Tenda AC18 w wersji oprogramowania 15.03.05.05 wykryto podatność na wstrzykiwanie poleceń w punkcie końcowym /goform/fast_setting_internet_set. Niezautoryzowany atakujący może wysłać spreparowane żądanie z złośliwym ładunkiem w parametrze mac, co pozwala na wykonanie dowolnych poleceń systemowych.

Ocena ryzyka

Atakujący może zdalnie przejąć kontrolę nad routerem bez uwierzytelnienia, co prowadzi do pełnej kompromitacji urządzenia, przechwycenia ruchu sieciowego lub wykorzystania go jako punktu wejścia do wewnętrznej sieci organizacji.

Rekomendacja

Należy natychmiast zaktualizować oprogramowanie sprzętowe routera Tenda AC18 do najnowszej dostępnej wersji, jeśli producent wydał łatkę. W międzyczasie zaleca się ograniczenie dostępu do interfejsu zarządzania tylko z zaufanych adresów IP oraz zastosowanie zapory sieciowej blokującej nieautoryzowane żądania do podatnego punktu końcowego.

Oryginalny opis (angielski, źródło NVD)

An unauthenticated command injection vulnerability in the /goform/fast_setting_internet_set endpoint of Tenda AC18 v15.03.05.05 allows attackers to execute arbitrary commands via a crafted payload injected into the mac parameter.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS