CRITICAL🇬🇧 English

CVE-2026-6274

Auth Bypass w DTS Electronics Redline WR3200 – brak uwierzytelnienia

CVSS 9.8v3.1pub. 2026-06-05upd. 2026-06-08

Podatność w urządzeniu Redline WR3200 firmy DTS Electronics umożliwia ominięcie mechanizmów uwierzytelnienia i uzyskanie dostępu do krytycznych funkcji bez podawania danych logowania. Ocena CVSS 9.8 (CRITICAL) wskazuje na bardzo wysokie ryzyko dla środowisk, w których urządzenie jest dostępne sieciowo.

Pokaż oryginał (EN)

Improper Authentication, Missing authentication for critical function, Weak Authentication vulnerability in DTS Electronics Industry and Trade Ltd. Co. Redline WR3200 allows Accessing Functionality Not Properly Constrained by ACLs. This issue affects Redline WR3200: from 7.1.3 before 7.1.8.

🤖 Analiza AI
Jak działa

Luka wynika z nieprawidłowej implementacji uwierzytelnienia (CWE-287), braku wymagania uwierzytelnienia dla krytycznych funkcji (CWE-306) oraz słabych mechanizmów weryfikacji tożsamości (CWE-1390). Atakujący zdalnie, bez posiadania konta ani jakiejkolwiek formy uwierzytelnienia, może uzyskać dostęp do funkcji urządzenia, które powinny być chronione listami kontroli dostępu (ACL). Podatność jest eksploitowalna przez sieć bez interakcji użytkownika i bez wymaganych uprawnień.

Skutki

Atakujący może przejąć kontrolę nad urządzeniem, uzyskując pełny dostęp do chronionych funkcji administracyjnych, co prowadzi do naruszenia poufności, integralności i dostępności systemu.

Mitygacja

Należy zaktualizować firmware urządzenia Redline WR3200 do wersji 7.1.8 lub nowszej. Do czasu zastosowania patcha zaleca się ograniczenie dostępu do interfejsu zarządzania urządzeniem wyłącznie do zaufanych sieci lub hostów (np. przez firewall lub segmentację sieci).

Kogo dotyczy

DTS Electronics Redline WR3200 w wersjach od 7.1.3 (włącznie) do 7.1.8 (wyłącznie).

Uwagi

Publiczne repozytorium GitHub (github.com/bugresearch/CVE-2026-6274) sugeruje dostępność proof-of-concept lub dodatkowych informacji technicznych dotyczących tej podatności. Szczegółowe informacje dostępne są również w komunikacie tureckiego organu ds. cyberbezpieczeństwa (siberguvenlik.gov.tr).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje