Tenda AC7, AC9, and AC10 Routers Command Injection Vulnerability — Tenda AC7, AC9, and AC10 devices contain a command injection vulnerability due to the "formsetUsbUnload" function executes a dosystemCmd function with untrusted input. Successful exploitation allows an attacker to execute OS commands via a crafted goform/setUsbUnload request.
Tenda AC7, AC9, and AC10 routers contain a critical command injection vulnerability in the formsetUsbUnload function that allows unauthenticated attackers to execute arbitrary OS commands. Exploitation requires sending a crafted HTTP request to the vulnerable endpoint without authentication.
تحتوي أجهزة توجيه تندا AC7 و AC9 و AC10 على ثغرة حقن أوامر في دالة formsetUsbUnload التي تنفذ أوامر النظام بدون التحقق من صحة المدخلات. يمكن للمهاجمين استغلال هذه الثغرة لتنفيذ أوامر تعسفية على نظام التشغيل من خلال طلب HTTP مصمم. هذه الثغرة لا تتطلب مصادقة وتؤثر على الأمان الكامل للجهاز والشبكة المتصلة به.
أجهزة توجيه تندا AC7 و AC9 و AC10 تحتوي على ثغرة حقن أوامر حرجة في دالة formsetUsbUnload تسمح للمهاجمين بتنفيذ أوامر نظام تعسفية. يتطلب الاستغلال إرسال طلب HTTP مصمم للنقطة الضعيفة دون مصادقة.
Immediately update affected Tenda routers (AC7, AC9, AC10) to the latest firmware version. If updates are unavailable, disable USB functionality if not required, restrict access to router management interfaces via firewall rules, and isolate affected devices from critical network segments. Monitor for suspicious HTTP requests to /goform/setUsbUnload endpoints.
قم بتحديث أجهزة توجيه تندا المتأثرة (AC7 و AC9 و AC10) إلى أحدث إصدار من البرنامج الثابت فوراً. إذا لم تكن التحديثات متاحة، قم بتعطيل وظيفة USB إن لم تكن مطلوبة، وقيد الوصول إلى واجهات إدارة الموجه عبر قواعد جدار الحماية، وعزل الأجهزة المتأثرة عن أجزاء الشبكة الحرجة. راقب الطلبات المريبة إلى نقاط نهاية /goform/setUsbUnload.