CRITICAL🇬🇧 English

CVE-2026-24429

Tenda W30E V2 — predefiniowane domyślne hasło w firmware umożliwia nieautoryzowany dostęp

CVSS 9.3v4.0pub. 2026-01-26upd. 2026-01-29

Firmware Tenda W30E V2 w wersjach do V16.01.0.19(5037) włącznie zawiera wbudowane konto z domyślnym hasłem, którego zmiana nie jest wymagana podczas konfiguracji wstępnej. Atakujący zdalnie, bez żadnego uwierzytelnienia z jego strony, może przejąć pełną kontrolę nad interfejsem zarządzania urządzeniem.

Pokaż oryginał (EN)

Shenzhen Tenda W30E V2 firmware versions up to and including V16.01.0.19(5037) ship with a predefined default password for a built-in authentication account that is not required to be changed during initial configuration. An attacker can leverage these default credentials to gain authenticated access to the management interface.

🤖 Analiza AI
Jak działa

Producent osadził w firmware predefiniowane, z góry znane hasło przypisane do wbudowanego konta administracyjnego. Urządzenie nie wymusza zmiany tego hasła podczas pierwszego uruchomienia ani konfiguracji. Atakujący, znając domyślne dane logowania, może bezpośrednio uwierzytelnić się w interfejsie zarządzania przez sieć, bez konieczności wcześniejszego pozyskiwania jakichkolwiek informacji ani interakcji ze strony użytkownika.

Skutki

Atakujący uzyskuje uwierzytelniony dostęp do interfejsu zarządzania urządzeniem, co umożliwia mu pełną rekonfigurację routera, przechwycenie ruchu sieciowego, a także potencjalne wykorzystanie urządzenia jako punktu wejścia do chronionej sieci.

Mitygacja

Należy niezwłocznie zmienić domyślne hasło na interfejsie zarządzania urządzenia na unikalne i silne hasło. Należy również ograniczyć dostęp do interfejsu zarządzania wyłącznie do zaufanych adresów IP lub segmentów sieci. Zaleca się sprawdzenie dostępności zaktualizowanego firmware u producenta pod adresem https://www.tendacn.com/product/W30E i jego niezwłoczne wdrożenie, jeśli jest dostępny.

Kogo dotyczy

Tenda W30E V2 — wersje firmware do V16.01.0.19(5037) włącznie

Uwagi

Podatność sklasyfikowana jako CWE-1393 (Use of Default Password). Podatność dotyczy wyłącznie wersji sprzętowej V2 urządzenia Tenda W30E.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Tenda W30e

    HW
    Tenda
    wszystkie wersje
  • Tenda W30e Firmware

    OS
    Tenda
    ≤ 16.01.0.19\(5037\)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-38835CRITICAL9.8PL ✓ten sam produkt

Command injection w Tenda W30E via parametr usbPartitionName

CVE-2026-24436CRITICAL9.2PL ✓ten sam produkt

Brak ograniczenia prób logowania w Tenda W30E — atak brute-force

CVE-2025-57085CRITICAL9.8PL ✓ten sam produkt

Tenda W30E — stack overflow w funkcji UploadCfg (parametr v17)

CVE-2024-32286CRITICAL9.8PL ✓ten sam produkt

Stack overflow w Tenda W30E przez parametr 'page' w funkcji fromVirtualSer

CVE-2023-49403CRITICAL9.8PL ✓ten sam produkt

Command injection w routerze Tenda W30E poprzez funkcję setFixTools