Podatność w urządzeniu Redline WR3200 firmy DTS Electronics umożliwia ominięcie mechanizmów uwierzytelnienia i uzyskanie dostępu do krytycznych funkcji bez podawania danych logowania. Ocena CVSS 9.8 (CRITICAL) wskazuje na bardzo wysokie ryzyko dla środowisk, w których urządzenie jest dostępne sieciowo.
▸ Pokaż oryginał (EN)
Improper Authentication, Missing authentication for critical function, Weak Authentication vulnerability in DTS Electronics Industry and Trade Ltd. Co. Redline WR3200 allows Accessing Functionality Not Properly Constrained by ACLs. This issue affects Redline WR3200: from 7.1.3 before 7.1.8.
Luka wynika z nieprawidłowej implementacji uwierzytelnienia (CWE-287), braku wymagania uwierzytelnienia dla krytycznych funkcji (CWE-306) oraz słabych mechanizmów weryfikacji tożsamości (CWE-1390). Atakujący zdalnie, bez posiadania konta ani jakiejkolwiek formy uwierzytelnienia, może uzyskać dostęp do funkcji urządzenia, które powinny być chronione listami kontroli dostępu (ACL). Podatność jest eksploitowalna przez sieć bez interakcji użytkownika i bez wymaganych uprawnień.
Atakujący może przejąć kontrolę nad urządzeniem, uzyskując pełny dostęp do chronionych funkcji administracyjnych, co prowadzi do naruszenia poufności, integralności i dostępności systemu.
Należy zaktualizować firmware urządzenia Redline WR3200 do wersji 7.1.8 lub nowszej. Do czasu zastosowania patcha zaleca się ograniczenie dostępu do interfejsu zarządzania urządzeniem wyłącznie do zaufanych sieci lub hostów (np. przez firewall lub segmentację sieci).
DTS Electronics Redline WR3200 w wersjach od 7.1.3 (włącznie) do 7.1.8 (wyłącznie).
Publiczne repozytorium GitHub (github.com/bugresearch/CVE-2026-6274) sugeruje dostępność proof-of-concept lub dodatkowych informacji technicznych dotyczących tej podatności. Szczegółowe informacje dostępne są również w komunikacie tureckiego organu ds. cyberbezpieczeństwa (siberguvenlik.gov.tr).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H