A weakness has been identified in Trendnet TEW-657BRM 1.00.1. This affects the function add_wps_client of the file /setup.cgi. This manipulation of the argument wl_enrolee_pin causes os command injection. The attack may be initiated remotely. The exploit has been made available to the public and could be used for attacks. The vendor confirms, that "[t]he product in question (...) has been discontinued and end of life since June 23, 2011, that is more than 14 years ago. We no longer provide support for this product, so we are not able to confirm the vulnerabilities. We will make an announcement on our website's product support page and notify customers who registered their products with us." This vulnerability only affects products that are no longer supported by the maintainer.
CVE-2026-5351 is a remote OS command injection vulnerability in the discontinued Trendnet TEW-657BRM wireless router (end-of-life since 2011). The vulnerability exists in the /setup.cgi file's add_wps_client function through the wl_enrolee_pin parameter, allowing unauthenticated remote code execution. While the CVSS score is 6.3 (medium), the lack of vendor support and public exploit availability pose significant risks for organizations still operating legacy network infrastructure.
Immediate Actions:
1. Conduct urgent inventory of all network devices to identify any remaining Trendnet TEW-657BRM routers (model TEW-657BRM, firmware 1.00.1)
2. Isolate affected devices from production networks immediately
3. Implement network segmentation to restrict access to legacy devices
4. Enable enhanced monitoring and logging on network perimeter devices
Patching Guidance:
- No vendor patches are available; device is end-of-life since June 2011
- Immediate replacement with supported, current-generation wireless routers is mandatory
- Establish timeline for complete device decommissioning (recommend within 30 days)
Compensating Controls:
1. Implement strict firewall rules blocking access to /setup.cgi on affected devices
2. Disable WPS (Wi-Fi Protected Setup) functionality if device remains in use
3. Restrict administrative access to affected devices to specific trusted IP ranges only
4. Deploy intrusion detection signatures for CVE-2026-5351 exploitation attempts
5. Implement network access control (NAC) to prevent unauthorized device connections
Detection Rules:
- Monitor for HTTP POST requests to /setup.cgi with 'add_wps_client' function calls
- Alert on wl_enrolee_pin parameter values containing shell metacharacters (|, ;, &, $, `, etc.)
- Track failed and successful authentication attempts to device management interfaces
- Monitor for unexpected process execution originating from network device IP addresses
الإجراءات الفورية:
1. إجراء جرد عاجل لجميع أجهزة الشبكة لتحديد أي أجهزة Trendnet TEW-657BRM المتبقية (الطراز TEW-657BRM، البرنامج الثابت 1.00.1)
2. عزل الأجهزة المتأثرة عن شبكات الإنتاج فوراً
3. تنفيذ تقسيم الشبكة لتقييد الوصول إلى الأجهزة القديمة
4. تفعيل المراقبة والتسجيل المحسّن على أجهزة محيط الشبكة
إرشادات التصحيح:
- لا توجد تصحيحات من البائع؛ الجهاز انتهت صلاحيته منذ يونيو 2011
- الاستبدال الفوري بأجهزة توجيه لاسلكية مدعومة وحالية إلزامي
- وضع جدول زمني لإيقاف تشغيل الجهاز بالكامل (يُنصح به خلال 30 يوماً)
الضوابط البديلة:
1. تنفيذ قواعد جدار الحماية الصارمة لحظر الوصول إلى /setup.cgi على الأجهزة المتأثرة
2. تعطيل وظيفة WPS (Wi-Fi Protected Setup) إذا بقي الجهاز قيد الاستخدام
3. تقييد الوصول الإداري إلى الأجهزة المتأثرة بنطاقات IP موثوقة محددة فقط
4. نشر توقيعات كشف الاختراق لمحاولات استغلال CVE-2026-5351
5. تنفيذ التحكم في الوصول إلى الشبكة (NAC) لمنع اتصالات الأجهزة غير المصرح بها
قواعد الكشف:
- مراقبة طلبات HTTP POST إلى /setup.cgi مع استدعاءات دالة 'add_wps_client'
- التنبيه على قيم معامل wl_enrolee_pin التي تحتوي على أحرف metacharacters (|، ;، &، $، `، إلخ)
- تتبع محاولات المصادقة الفاشلة والناجحة لواجهات إدارة الأجهزة
- مراقبة تنفيذ العمليات غير المتوقعة من عناوين IP لأجهزة الشبكة