CVE-2026-30702
🟠 Łataj w tym tygodniu
Wadliwy mechanizm uwierzytelniania w WDR201A umożliwia atakującym ominięcie logowania i dostęp do zastrzeżonych zasobów.
CVSS
9.8
EPSS
0.1%
Exploit
none
Vendor
Opis źródłowy (NVD)
The WiFi Extender WDR201A (HW V2.1, FW LFMZX28040922V1.02) implements a broken authentication mechanism in its web management interface. The login page does not properly enforce session validation, allowing attackers to bypass authentication by directly accessing restricted web application endpoints through forced browsing
auth-bypass
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 9.8 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.1% |
| Opublikowano (NVD) | 2026-03-18 18:16:27 UTC |
| Ostatnia modyfikacja (NVD) | 2026-03-23 16:16:45 UTC |
Referencje
- https://mstreet97.github.io/security-research/iot/vulnerability-disclosure/cybersecurity/cve/2026/02/18/From-Blackbox-to-Whitebox-Multiple-CVEs-in-a-Consumer-WiFi-Extender.html (cve@mitre.org)
- https://www.made-in-china.com/showroom/yeapook/#:~:text=Established%20in%202015.%2CDistrict%2C%20Shenzhen%2C%20Guangdong%2C%20China (cve@mitre.org)