CRITICAL🇬🇧 English

CVE-2020-37125

RCE bez uwierzytelnienia w Edimax EW-7438RPn Mini przez endpoint /goform/mp

CVSS 9.3v4.0pub. 2026-02-05upd. 2026-02-18

Urządzenie Edimax EW-7438RPn-v3 Mini w wersji firmware 1.27 zawiera krytyczną podatność umożliwiającą zdalne wykonanie kodu (RCE) bez żadnego uwierzytelnienia. Atakujący może przejąć pełną kontrolę nad urządzeniem, wysyłając specjalnie spreparowane żądanie HTTP POST.

Pokaż oryginał (EN)

Edimax EW-7438RPn-v3 Mini 1.27 contains a remote code execution vulnerability that allows unauthenticated attackers to execute arbitrary commands through the /goform/mp endpoint. Attackers can exploit the vulnerability by sending crafted POST requests with command injection payloads to download and execute malicious scripts on the device.

🤖 Analiza AI
Jak działa

Podatność klasy command injection (CWE-78) występuje w endpoincie /goform/mp dostępnym bez uwierzytelnienia. Atakujący wysyła spreparowane żądanie POST zawierające payload z wstrzykniętymi poleceniami systemowymi. Urządzenie przetwarza dane wejściowe bez odpowiedniej walidacji i sanityzacji, przekazując je bezpośrednio do interpretera poleceń systemowych. W ten sposób możliwe jest pobranie i uruchomienie złośliwych skryptów na urządzeniu.

Skutki

Nieuprawniony zdalny atakujący może wykonać dowolne polecenia systemowe na urządzeniu sieciowym, co prowadzi do pełnego przejęcia kontroli, możliwości instalacji złośliwego oprogramowania oraz potencjalnego wykorzystania urządzenia jako punktu wejścia do sieci wewnętrznej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako natychmiastowe obejście zaleca się izolację urządzenia od publicznego dostępu sieciowego, ograniczenie dostępu do interfejsu zarządzania wyłącznie do zaufanych hostów oraz monitorowanie ruchu sieciowego kierowanego do endpointu /goform/mp.

Kogo dotyczy

Edimax EW-7438RPn-v3 Mini z firmware w wersji 1.27

Uwagi

Dla tej podatności istnieje publiczny exploit opublikowany w Exploit-DB (exploits/48318), co znacząco obniża próg wejścia dla potencjalnych atakujących i zwiększa ryzyko praktycznego wykorzystania.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Edimax Ew 7438rpn Mini

    HW
    Edimax
    3
  • Edimax Ew 7438rpn Mini Firmware

    OS
    Edimax
    1.27
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEAuth BypassCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2025-34024CRITICAL9.4PL ✓ten sam produkt

OS Command Injection w Edimax EW-7438RPn Mini — wykonanie poleceń jako root

CVE-2025-34029CRITICAL9.4PL ✓ten sam produkt

Command injection w Edimax EW-7438RPn Mini — wykonanie poleceń jako root

CVE-2020-37150HIGH8.7ten sam produkt

Edimax EW-7438RPn-v3 Mini 1.27 allows unauthenticated attackers to access the /wizard_reboot.asp page in unset...

CVE-2020-37097HIGH8.7ten sam produkt

Edimax EW-7438RPn 1.13 contains an information disclosure vulnerability that exposes WiFi network configuratio...

CVE-2016-10863HIGH8.8ten sam produkt

Edimax Wi-Fi Extender devices allow goform/formwlencryptvxd CSRF with resultant PSK key disclosure.