CVE-2018-14558
CVE-2018-14558
En resumen
Los routers inalámbricos Tenda (AC7, AC9, AC10) permiten que atacantes ejecuten comandos arbitrarios en el dispositivo mediante solicitudes especialmente elaboradas. Un atacante puede tomar control total del router y acceder a su red.
Detalle técnico
Vulnerabilidad de inyección de comandos en el endpoint setUsbUnload permite ejecución remota de código no autenticada a través de entrada no sanitizada pasada a dosystemCmd. La falla afecta modelos específicos de routers Tenda y versiones de firmware, permitiendo ejecución de comandos del sistema operativo con privilegios del router.
Resumen generado y traducido por IA a partir de la descripción oficial.
An issue was discovered on Tenda AC7 devices with firmware through V15.03.06.44_CN(AC7), AC9 devices with firmware through V15.03.05.19(6318)_CN(AC9), and AC10 devices with firmware through V15.03.06.23_CN(AC10). A command Injection vulnerability allows attackers to execute arbitrary OS commands via a crafted goform/setUsbUnload request. This occurs because the "formsetUsbUnload" function executes a dosystemCmd function with untrusted input.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →