Opis podatności
CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu routera Pix-Link LV-WR21Q i koordynował proces ujawniania informacji.
Podatność CVE-2025-12386: Endpoint /goform/getHomePageInfo w Pix-Link LV-WR21Q nie wymaga żadnej formy uwierzytelnienia. Zdalny, nieuwierzytelniony atakujący może wykorzystać ten endpoint, np. do uzyskania hasła do punktu dostępowego w postaci jawnego tekstu.
Podatność CVE-2025-12387: Podatność w module językowym routera Pix-Link LV-WR21Q umożliwia zdalnemu atakującemu wywołanie ataku typu DoS poprzez wysłanie specjalnie spreparowanego żądania HTTP POST zawierającego nieistniejący parametr językowy. Powoduje to, iż serwer nie jest w stanie poprawnie udostępnić pliku lang.js, co skutkuje niedostępnością panelu administracyjnego i prowadzi do stanu DoS aż do momentu przywrócenia ustawień językowych do prawidłowej wartości. Odmowa usługi dotyczy wyłącznie panelu administracyjnego i nie wpływa na pozostałe funkcjonalności routera.
Producent został wcześniej poinformowany o tych podatnościach, jednak nie udzielił informacji na temat szczegółów podatności ani zakresu wersji podatnych na atak. Przetestowano i potwierdzono podatności jedynie w wersji V108_108 - inne wersje nie były testowane i również mogą być podatne.
Podziękowania
Za zgłoszenie podatności dziękujemy Wojciechowi Cybowskiemu.
