CVE-2018-14558
CVE-2018-14558
Vexday Risk Score
58Atención
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 9.8EPSS 8.7%KEV simPoC —Nuclei —Metasploit —Patch —
Ciclo de vida
30 oct 2018Publicada en NVD
03 nov 2021Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen
Los routers inalámbricos Tenda (AC7, AC9, AC10) permiten que atacantes ejecuten comandos arbitrarios en el dispositivo mediante solicitudes especialmente elaboradas. Un atacante puede tomar control total del router y acceder a su red.
Detalle técnico
Vulnerabilidad de inyección de comandos en el endpoint setUsbUnload permite ejecución remota de código no autenticada a través de entrada no sanitizada pasada a dosystemCmd. La falla afecta modelos específicos de routers Tenda y versiones de firmware, permitiendo ejecución de comandos del sistema operativo con privilegios del router.
Resumen generado y traducido por IA a partir de la descripción oficial.
An issue was discovered on Tenda AC7 devices with firmware through V15.03.06.44_CN(AC7), AC9 devices with firmware through V15.03.05.19(6318)_CN(AC9), and AC10 devices with firmware through V15.03.06.23_CN(AC10). A command Injection vulnerability allows attackers to execute arbitrary OS commands via a crafted goform/setUsbUnload request. This occurs because the "formsetUsbUnload" function executes a dosystemCmd function with untrusted input.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →