A vulnerability has been found in Trendnet TEW-657BRM 1.00.1. Affected by this issue is the function vpn_drop of the file /setup.cgi. The manipulation of the argument policy_name leads to os command injection. The attack is possible to be carried out remotely. The exploit has been disclosed to the public and may be used. The vendor confirms, that "[t]he product in question (...) has been discontinued and end of life since June 23, 2011, that is more than 14 years ago. We no longer provide support for this product, so we are not able to confirm the vulnerabilities. We will make an announcement on our website's product support page and notify customers who registered their products with us." This vulnerability only affects products that are no longer supported by the maintainer.
CVE-2026-5355 is a remote OS command injection vulnerability in the discontinued Trendnet TEW-657BRM router (end-of-life since 2011). The vulnerability exists in the /setup.cgi file's vpn_drop function through the policy_name parameter, allowing unauthenticated remote code execution. While the CVSS score is 6.3 (medium), the lack of vendor support and public exploit disclosure pose significant risks for legacy deployments still in use within Saudi organizations.
Immediate Actions:
1. Conduct urgent inventory of all Trendnet TEW-657BRM devices across the organization
2. Isolate any identified devices from production networks immediately
3. Implement network segmentation to restrict access to affected devices
4. Enable VPN access restrictions and disable remote management features
Patching Guidance:
- No patch is available from the vendor (product discontinued since 2011)
- Immediate replacement with supported, modern router models is mandatory
- Establish timeline for complete device replacement within 30 days
Compensating Controls:
1. Implement strict firewall rules blocking access to port 80/443 on affected devices
2. Deploy intrusion detection/prevention systems (IDS/IPS) to monitor for exploitation attempts
3. Restrict administrative access to affected devices to authorized personnel only
4. Disable VPN functionality if not actively required
5. Monitor for suspicious command patterns in logs
Detection Rules:
- Monitor HTTP requests to /setup.cgi with policy_name parameter containing shell metacharacters (|, ;, &, $, `, etc.)
- Alert on any successful command execution attempts on affected devices
- Track unauthorized access attempts to device management interfaces
الإجراءات الفورية:
1. إجراء جرد عاجل لجميع أجهزة Trendnet TEW-657BRM في المنظمة
2. عزل أي أجهزة محددة عن شبكات الإنتاج فوراً
3. تطبيق تقسيم الشبكة لتقييد الوصول إلى الأجهزة المتأثرة
4. تفعيل قيود الوصول إلى VPN وتعطيل ميزات الإدارة البعيدة
إرشادات التصحيح:
- لا يتوفر تصحيح من البائع (المنتج متوقف منذ عام 2011)
- الاستبدال الفوري بنماذج موجهات حديثة مدعومة إلزامي
- وضع جدول زمني لاستبدال الجهاز بالكامل خلال 30 يوماً
الضوابط البديلة:
1. تطبيق قواعد جدار الحماية الصارمة لحجب الوصول إلى المنافذ 80/443 على الأجهزة المتأثرة
2. نشر أنظمة كشف/منع الاختراق (IDS/IPS) لمراقبة محاولات الاستغلال
3. تقييد الوصول الإداري إلى الأجهزة المتأثرة للموظفين المصرح لهم فقط
4. تعطيل وظيفة VPN إذا لم تكن مطلوبة بنشاط
5. مراقبة أنماط الأوامر المريبة في السجلات
قواعد الكشف:
- مراقبة طلبات HTTP إلى /setup.cgi مع معامل policy_name يحتوي على أحرف shell (|، ;، &، $، `، إلخ)
- تنبيه عند أي محاولات تنفيذ أوامر ناجحة على الأجهزة المتأثرة
- تتبع محاولات الوصول غير المصرح بها إلى واجهات إدارة الجهاز