На 8 февруари 2026 г. беше публикувана информация за уязвимост с номер CVE-2026-2148. Тя засяга безжичния рутер Tenda AC21 с версия на фърмуера 16.03.08.16. Проблемът позволява отдалечено разкриване на чувствителна информация чрез уеб интерфейса за управление.

Технически детайли на проблема

Според данните в Националната база данни за уязвимости (NVD), слабостта се намира в модула Web Management Interface. Конкретният засегнат компонент е endpoint с адрес „/cgi-bin/DownloadFlash“. Този ресурс може да бъде достъпен през мрежата без необходимост от администраторски права.

Техническият анализ показва, че липсват проверки за автентикация. Това позволява на злонамерени лица да изтеглят образа на флаш паметта (flash image). Този файл често съдържа конфигурационни настройки и пароли.

Оценка на риска

Анализът на CNA VulDB поставя базов резултат по CVSS v3.1 от 5.3 (Medium). Векторът на атаката се характеризира със следното:

  • Атаката се извършва през мрежата (Network).
  • Не се изискват привилегии (None).
  • Не е необходимо действие от страна на потребителя (None).
  • Нарушена е конфиденциалността на данните.

Съществуват разлики в оценката на тежестта между различните агрегатори. OpenCVE визуализира резултат от 6.9, докато VulDB посочва 5.5 по стандарта CVSS v4.0. Въпреки разминаванията, възможността за неоторизиран достъп остава потвърдена.

Засегнати потребители

Уязвимостта е специфична за модела Tenda AC21 с фърмуер 16.03.08.16. Рискът е най-висок за домашни потребители и малки офиси. Рутерът често съхранява критични данни:

  • Пароли за Wi-Fi достъп.
  • Настройки на интернет доставчика (ISP).
  • Правила за защитната стена.

Препоръчителни мерки

Към момента на публикуване на записа в NVD не е посочен официален пач. Експертите по киберсигурност препоръчват незабавни действия за ограничаване на риска:

  • Проверка на текущата версия на фърмуера.
  • Спиране на опцията за отдалечено управление (Remote Management) през интернет.
  • Ограничаване на достъпа до административния панел само за доверени устройства в локалната мрежа.
Липсата на изискване за парола при достъп до „/cgi-bin/DownloadFlash“ прави устройството лесна цел, ако интерфейсът е открит към публичния интернет.