Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-38835 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-04-21 |
| Producent | Tenda |
| Produkt | W30E |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | 0.2% (percentyl: 38%) |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
W routerze Tenda W30E V2.0 z firmware V16.01.0.21 wykryto podatność command injection w funkcji
formSetUSBPartitionUmount, występującą w parametrzeusbPartitionName. Luka pozwala atakującemu na wykonanie dowolnych poleceń systemowych poprzez spreparowane żądanie HTTP.
Wymagane działania
Skontaktuj się z Tenda w sprawie dostępności poprawki firmware i zaktualizuj urządzenie niezwłocznie po jej opublikowaniu. Do tego czasu zablokuj dostęp do interfejsu zarządzania routera z sieci publicznej, ogranicz dostęp administracyjny do zaufanych adresów IP w sieci LAN i rozważ wyłączenie funkcji USB storage, jeśli nie jest wykorzystywana.
Kogo dotyczy?
Podatność dotyczy produktu W30E firmy Tenda. Konkretnie potwierdzona została wersja sprzętowa V2.0 z firmware V16.01.0.21. Jeśli w Twojej infrastrukturze wykorzystywane są routery Tenda W30E, sprawdź wersje firmware i ogranicz ekspozycję urządzeń do momentu udostępnienia poprawki.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
