CVE-2026-2615 Wavlink — эксплойт и детали уязвимости HIGH

Параметр	Значение
CVSS	7,3 (HIGH)
Уязвимые версии	до 2025-12-08
Тип уязвимости	CWE-74 (Внедрение), CWE-77 (Внедрение команд)
Поставщик	Wavlink
Публичный эксплойт	Нет

В Wavlink WL-NU516U1 обнаружена ошибка до 20251208. Затронутым элементом является функция SinglePortForwardDelete файла /cgi-bin/firewall.cgi. Выполнение манипуляций с аргументом del_flag может привести к внедрению команды.

Атака может быть запущена удаленно. Эксплойт опубликован и может быть использован. С поставщиком заранее связались по поводу этой информации, но он никак не отреагировал.

Показать оригинальное описание (EN)

A flaw has been found in Wavlink WL-NU516U1 up to 20251208. The affected element is the function singlePortForwardDelete of the file /cgi-bin/firewall.cgi. Executing a manipulation of the argument del_flag can lead to command injection. The attack may be launched remotely. The exploit has been published and may be used. The vendor was contacted early about this disclosure but did not respond in any way.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Условия для атаки

Не требуются

Нет дополнительных условий

Нужны права

Высокие

Нужны права администратора

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Высокое

Полная утечка данных

Целостность

Высокое

Полная модификация данных

Доступность

Высокое

Полный отказ в обслуживании

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-74 Injection (Внедрение)

CWE-77 Command Injection (Внедрение команд)

Уязвимые продукты 2

Конфигурация	От (включительно)	До (исключительно)
Wavlink Wl-Nu516u1_Firmware cpe:2.3:o:wavlink:wl-nu516u1_firmware::::::::	—	`<= 2025-12-08`
Wavlink Wl-Nu516u1 cpe:2.3:h:wavlink:wl-nu516u1:-:::::::*	—	—