A security flaw has been discovered in Wavlink NU516U1 M16U1_V240425. This vulnerability affects the function wzdap of the file /cgi-bin/adm.cgi. Performing a manipulation of the argument EncrypType/wl_Pass is directly passed by the attacker/so we can control the EncrypType/wl_Pass results in os command injection. The attack may be initiated remotely. The exploit has been released to the public and may be used for attacks. The vendor was contacted early about this disclosure.
A command injection vulnerability exists in Wavlink NU516U1 M16U1_V240425 router firmware where the EncrypType/wl_Pass parameters in /cgi-bin/adm.cgi are not properly sanitized, allowing remote attackers to execute arbitrary OS commands. The vulnerability has been publicly disclosed and active exploits are available.
تؤثر هذه الثغرة على وظيفة wzdap في ملف /cgi-bin/adm.cgi حيث يتم تمرير معاملات EncrypType و wl_Pass مباشرة دون التحقق من صحتها. يمكن للمهاجمين البعيدين استغلال هذه الثغرة لتنفيذ أوامر نظام تعسفية على الجهاز المتأثر.
ثغرة حقن أوامر موجودة في جهاز التوجيه Wavlink NU516U1 M16U1_V240425 حيث لم يتم التحقق من صحة معاملات EncrypType/wl_Pass في /cgi-bin/adm.cgi بشكل صحيح، مما يسمح للمهاجمين البعيدين بتنفيذ أوامر نظام تعسفية. تم الكشف عن الثغرة علنا وتتوفر أدوات استغلال نشطة.
Update Wavlink NU516U1 firmware to the latest patched version immediately. If updates are unavailable, restrict access to the device's web interface using firewall rules and disable remote management features. Monitor network traffic for suspicious command patterns targeting /cgi-bin/adm.cgi.
قم بتحديث برنامج جهاز Wavlink NU516U1 إلى أحدث إصدار مصحح على الفور. إذا لم تكن التحديثات متاحة، قيد الوصول إلى واجهة الويب للجهاز باستخدام قواعد جدار الحماية وعطل ميزات الإدارة البعيدة. راقب حركة المرور على الشبكة للأنماط المريبة التي تستهدف /cgi-bin/adm.cgi.