CVE-2020-10987
CVE-2020-10987
Vexday Risk Score
100Corregir ahora
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 9.8EPSS 79.7%KEV simPoC públicaNuclei simMetasploit —Patch —
Ciclo de vida
13 jul 2020Publicada en NVD
03 nov 2021Explotación activa (CISA KEV)
23 oct 2025PoC pública
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen
Una vulnerabilidad en routers Tenda AC15 permite que atacantes ejecuten comandos dañinos en el dispositivo enviando solicitudes especialmente creadas. Esto es crítico porque un invasor puede tomar control total de su router sin necesidad de acceso especial.
Detalle técnico
El endpoint setUsbUnload en Tenda AC15 v15.03.05.19 es vulnerable a inyección de comandos del SO a través del parámetro POST deviceName, permitiendo ejecución remota de código no autenticada. La vulnerabilidad surge por falta de validación adecuada de entrada, permitiendo que atacantes inyecten metacaracteres de shell y ejecuten comandos arbitrarios con privilegios del router.
Resumen generado y traducido por IA a partir de la descripción oficial.
The goform/setUsbUnload endpoint of Tenda AC15 AC1900 version 15.03.05.19 allows remote attackers to execute arbitrary system commands via the deviceName POST parameter.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/aPoCs públicas encontradas — 1
githubgithub.com/Jaden-Bowers/Tenda-Router-VR-and-Exploit★ 0⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →