CRITICAL🇬🇧 English

CVE-2026-31059

RCE w UTT HiPER 520W — wykonanie dowolnych poleceń przez /goform/formDia

CVSS 9.8v3.1pub. 2026-04-06upd. 2026-04-09

Podatność typu Remote Command Execution (RCE) w routerze UTT Aggressive HiPER 520W umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Krytyczny poziom zagrożenia wynika z braku wymagań dotyczących uwierzytelnienia i możliwości pełnego przejęcia urządzenia.

Pokaż oryginał (EN)

A remote command execution (RCE) vulnerability in the /goform/formDia component of UTT Aggressive HiPER 520W v3v1.7.7-180627 allows attackers to execute arbitrary commands via a crafted string.

🤖 Analiza AI
Jak działa

Podatność znajduje się w komponencie /goform/formDia obsługującym żądania HTTP na urządzeniu UTT HiPER 520W. Atakujący może przesłać specjalnie spreparowany ciąg znaków (crafted string) do tego endpointu, co prowadzi do wykonania osadzonych w nim poleceń systemowych przez urządzenie. Ze względu na wektor sieciowy (AV:N) i brak wymagań dotyczących uwierzytelnienia (PR:N) oraz interakcji użytkownika (UI:N), atak może być przeprowadzony zdalnie bez żadnych uprawnień.

Skutki

Atakujący może wykonać dowolne polecenia na urządzeniu z poziomem uprawnień procesu obsługującego żądania, co w praktyce oznacza pełne przejęcie kontroli nad routerem, w tym możliwość naruszenia poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu zastosowania aktualizacji zaleca się ograniczenie dostępu do interfejsu administracyjnego urządzenia wyłącznie do zaufanych adresów IP oraz izolację urządzenia za pomocą firewall.

Kogo dotyczy

UTT Aggressive HiPER 520W w wersji firmware v3v1.7.7-180627

Uwagi

Szczegóły techniczne podatności zostały opublikowane w repozytorium GitHub przez badacza zxq0408 (https://github.com/zxq0408/Vul202601/blob/main/9.md).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Utt 520w

    HW
    Utt
    3.0
  • Utt 520w Firmware

    OS
    Utt
    1.7.7-180627
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-2071HIGH7.4ten sam produkt

A vulnerability was found in UTT 进取 520W 1.7.7-180627. The impacted element is the function strcpy of the file...

CVE-2026-2070HIGH7.4ten sam produkt

A vulnerability has been found in UTT 进取 520W 1.7.7-180627. The affected element is the function strcpy of the...

CVE-2026-2066HIGH7.4ten sam produkt

A weakness has been identified in UTT 进取 520W 1.7.7-180627. This affects the function strcpy of the file /gofo...

CVE-2026-2067HIGH7.4ten sam produkt

A security vulnerability has been detected in UTT 进取 520W 1.7.7-180627. This vulnerability affects the functio...

CVE-2026-2068HIGH7.4ten sam produkt

A vulnerability was detected in UTT 进取 520W 1.7.7-180627. This issue affects the function strcpy of the file /...