InHand Networks - CVE-2026-38704
Date de publication :
Il s'agit d'une vulnérabilité dans la fonctionnalité WireGuard VPN des routeurs industriels InHand Networks IR302, IR305, IR315 et IR615.
Les routeurs industriels IR302, IR305, IR315 et IR615 sont des équipements réseau de la gamme InHand Networks. Ils sont conçus pour des environnements industriels et proposent des fonctionnalités de connectivité cellulaire, VPN et gestion à distance.
Le traitement des paramètres de configuration WireGuard ne neutralise pas correctement les métacaractères shell avant leur insertion dans une commande système. Un attaquant distant non authentifié peut injecter des commandes arbitraires via cette interface et les faire exécuter par le système d'exploitation du dispositif.
Elle permet l'obtention des droits root sur le dispositif distant.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-77 : Improper Neutralization of Special Elements used in a Command ('Command Injection')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• IR302 firmware InRouter3XX-V3.5.108 et antérieures
• IR305 firmware InRouter3X5-V1.0.118 et antérieures
• IR315 firmware InRouter3X5-V1.0.118 et antérieures
• IR615 firmware InRouter6XS-V1.0.118 et antérieures
Solutions ou recommandations
• IR305 : mise à jour vers le firmware InRouter3X5-V1.0.121 et supérieures
• IR315 : mise à jour vers le firmware InRouter3X5-V1.0.121 et supérieures
• IR615 : mise à jour vers le firmware InRouter6XS-V1.0.121 et supérieures