CVE-2026-7160

CVE-2026-7160 es un vulnerabilidad crítica relacionada con el dispositivo Tenda HG3 2.0, que permite a atacantes ejecutar comandos no autorizados mediante una manipulación específica de un argumento en la función formTracert del archivo /boaform/formTracert.

Descripción de la Vulnerabilidad

La vulnerabilidad se origina en el manejo de un parámetro denominado datasize dentro de la función formTracert, que está ubicada en el archivo /boaform/formTracert. Cuando un atacante manipula este parámetro, puede provocar una inyección de comandos, permitiendo la ejecución de código malicioso desde un equipo remoto. Este tipo de vulnerabilidades se clasifica como inyección de comandos, lo que significa que un atacante podría aprovecharla para obtener acceso no autorizado o realizar acciones dañinas.

Sistemas Afectados

La vulnerabilidad afecta específicamente a dispositivos con la versión Tenda HG3 2.0. Este modelo de router es conocido por su uso en entornos de red doméstica y empresarial, lo que aumenta el riesgo de exposición si no se aplica una corrección.

Impacto y Explotabilidad

La calificación CVSS del 8.8 (ALTO) refleja un impacto significativo en la seguridad. La vulnerabilidad permite a un atacante realizar acciones críticas, como la modificación de configuraciones o el acceso no autorizado, sin necesidad de autenticación. Dado que el ataque puede ser remoto (AV:N), no requiere interacción directa con el dispositivo afectado.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación y Parches

La solución más efectiva es actualizar el firmware del dispositivo Tenda HG3 2.0 a una versión correcta que incluya la corrección de esta vulnerabilidad. Los usuarios deben revisar los anuncios oficiales de Tenda para identificar las actualizaciones disponibles y aplicarlas de inmediato. No se recomienda el uso de dispositivos sin protección hasta que se esté seguro de que la vulnerabilidad está resuelta.