Вход на сайт

Просмотр новости

Найдите то, что Вас интересует

Vestavěné heslo v routerech Tenda umožňuje přístup k administraci

Дата публикации: 07-07-2026 17:15:49

Neopravená zadní vrátka v několika routerech značky Tenda umožňují útočníkům obejít přihlašovací proces a získat plný správcovský přístup pomocí skrytého hesla. Zranitelnost označená jako CVE-2026–11405 poskytuje každému se znalostí skrytého hesla plný administrátorský přístup k webovému rozhraní pro správu zařízení, a to bez ohledu na to, jaké heslo nastavil skutečný majitel. Výrobce zatím nereagoval a chyba zůstává neopravená.

Основное содержимое страницы с новостью.

Neopravená zadní vrátka v několika routerech značky Tenda umožňují útočníkům obejít přihlašovací proces a získat plný správcovský přístup pomocí skrytého hesla. Zranitelnost označená jako CVE-2026–11405 poskytuje každému se znalostí skrytého hesla plný administrátorský přístup k webovému rozhraní pro správu zařízení, a to bez ohledu na to, jaké heslo nastavil skutečný majitel. Výrobce zatím nereagoval a chyba zůstává neopravená.

Několik verzí firmwaru Tenda obsahuje nedokumentovaná zadní vrátka v systému ověřování, která umožňují správcovský přístup k webovým rozhraním pro správu těchto zařízení, uvádí se v bezpečnostním upozornění zveřejněném organizací CERT/CC.

Dotčené verze firmwaru se týkají několika produktových řad: FH1201, W15E, AC10, AC5 a AC6. Ověřování je prováděno ve funkci login() v binárním souboru webového serveru /bin/httpd. Když se někdo pokusí přihlásit, funkce nejprve provede standardní postup: hašování hesla pomocí algoritmu MD5 a jeho porovnání s uloženým otiskem hesla. Pokud ale tato kontrola selže, funkce se nezastaví, ale udělá ještě jeden krok navíc – porovnání s přednastaveným heslem. Pokud se shoduje, bez ohledu na zadané uživatelské jméno se uživateli otevře webové rozhraní s plným přístupem k administraci.

Zadní vrátka jsou tedy zabudována přímo do binárního souboru firmwaru, nikoli do běžného konfiguračního souboru, který by správce mohl uživatelsky upravit nebo smazat. Hodnota skrytého hesla je uložena v konfiguraci zařízení pod položkou sys.rzadmin.password, což znamená, že byla do zařízení Tenda vložena záměrně. Tuto vlastnost navíc není možné uživatelsky deaktivovat, protože se v ovládacím rozhraní vůbec nenachází.

(Zdroj: Security Affairs)

Схожие новости

#Наименование новостиТональностьИнформативностьДата публикации
1Chyba „Bad Epoll“ v linuxovém jádře umožňuje získat roota a postihuje i Android-5704-07-2026
2Januscape: chyba v KVM umožňující uniknout z virtualizace na procesorech Intel a AMD0706-07-2026
3Хакеры активизировали атаки шифровальщиками на туроператоров-3725-06-2026
4Snadná výplata 240 tisíc korun od státu? ČSSZ varuje před nebezpečným podvodem-5702-07-2026
5Хакеры атаковали несколько интернет-компаний с помощью уязвимостей реестра Роскомнадзора0014-03-2019
6Российские хакеры получили доступ к 50 тысячам камер наблюдения в Европе и на Украине-2718-06-2026
7МИД Чехии подвергся хакерской атаке0031-07-2019
8Эксперты UserGate uFactor: новая уязвимость в Microsoft Exchange позволяет хакерам читать локальные файлы сервера0826-06-2026
9OpenSSH 10.4 přináší podporu kvantově odolné kombinace ML-DSA 44 a Ed255190506-07-2026
10Электронную почту посольства России в Австрии взломали0001-09-2020

Классификация: Общество. Схожих патентов: 0. Схожих новостей: 10. Тональность: -5. Информативность: 8. Источник: www.root.cz.