anonhaven

CVE-2026-30701

CRITICAL CVSS 3.1: 9,1 EPSS 0.10%
Обновлено 23 марта 2026
Параметр Значение
CVSS 9,1 (CRITICAL)
Тип уязвимости CWE-798 (Жёстко заданные учётные данные)
Публичный эксплойт Нет

Веб-интерфейс WiFi Extender WDR201A (HW V2.1, FW LFMZX28040922V1.02) содержит жестко запрограммированные механизмы раскрытия учетных данных (в форме Server Side Include) на нескольких серверных веб-страницах, включая login.shtml и settings.shtml. Эти страницы содержат директивы выполнения на стороне сервера, которые динамически извлекают и раскрывают пароль веб-администрирования из энергонезависимой памяти во время выполнения.

Показать оригинальное описание (EN)

The web interface of the WiFi Extender WDR201A (HW V2.1, FW LFMZX28040922V1.02) contains hardcoded credential disclosure mechanisms (in the form of Server Side Include) within multiple server-side web pages, including login.shtml and settings.shtml. These pages embed server-side execution directives that dynamically retrieve and expose the web administration password from non-volatile memory at runtime.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-798 Hardcoded Credentials (Жёстко заданные учётные данные)

Ссылки 2

https://mstreet97.github.io/security-research/iot/vulnerability-disclosure/cybe…
cve@mitre.org
https://www.made-in-china.com/showroom/yeapook/#:~:text=Established%20in%202015…
cve@mitre.org
Share Post Share Share Share