Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatności w oprogramowaniu routera LV-WR21Q
27 stycznia 2026 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2025-12386
Data publikacji 27 stycznia 2026
Producent podatnego oprogramowania Pix-Link
Nazwa podatnego oprogramowania LV-WR21Q
Podatne wersje V108_108
Typ podatności (CWE) Missing Authentication for Critical Function (CWE-306)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2025-12387
Data publikacji 27 stycznia 2026
Producent podatnego oprogramowania Pix-Link
Nazwa podatnego oprogramowania LV-WR21Q
Podatne wersje V108_108
Typ podatności (CWE) Improper Check for Unusual or Exceptional Conditions (CWE-754)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu routera Pix-Link LV-WR21Q i koordynował proces ujawniania informacji.

Podatność CVE-2025-12386: Endpoint /goform/getHomePageInfo w Pix-Link LV-WR21Q nie wymaga żadnej formy uwierzytelnienia. Zdalny, nieuwierzytelniony atakujący może wykorzystać ten endpoint, np. do uzyskania hasła do punktu dostępowego w postaci jawnego tekstu.

Podatność CVE-2025-12387: Podatność w module językowym routera Pix-Link LV-WR21Q umożliwia zdalnemu atakującemu wywołanie ataku typu DoS poprzez wysłanie specjalnie spreparowanego żądania HTTP POST zawierającego nieistniejący parametr językowy. Powoduje to, że serwer nie jest w stanie poprawnie udostępnić pliku lang.js, co skutkuje niedostępnością panelu administracyjnego i prowadzi do stanu DoS aż do momentu przywrócenia ustawień językowych do prawidłowej wartości. Odmowa usługi dotyczy wyłącznie panelu administracyjnego i nie wpływa na pozostałe funkcjonalności routera.

Producent został wcześniej poinformowany o tych podatnościach, jednak nie udzielił informacji na temat szczegółów podatności ani zakresu wersji podatnych na atak. Przetestowano i potwierdzono podatności jedynie w wersji V108_108 - inne wersje nie były testowane i również mogą być podatne.

Podziękowania

Za zgłoszenie podatności dziękujemy Wojciechowi Cybowskiemu.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.