Escanear gratis
LOWCVE-2026-4544CVSS 2.4

Wavlink WL-WN578W2 Solicitud POST login.cgi de scripting entre sitios

Plataforma

other

Componente

vul_db

Corregido en

221110.0.1

AI Confidence: highNVDEPSS 0.0%Revisado: may 2026
Ver en NVD
Guardar

Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el dispositivo Wavlink WL-WN578W2, específicamente en la versión 221110. Esta vulnerabilidad reside en el manejo de solicitudes POST a través del archivo /cgi-bin/login.cgi y permite la ejecución de scripts maliciosos en el navegador de un usuario. La explotación es posible de forma remota y la vulnerabilidad ha sido divulgada públicamente, aunque el proveedor no ha respondido a las notificaciones.

Impacto y Escenarios de Ataque

Un atacante podría aprovechar esta vulnerabilidad XSS para inyectar código JavaScript malicioso en la página de inicio del dispositivo, o en la página de inicio de sesión. Esto podría permitir al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso ejecutar código arbitrario en el navegador del usuario. El impacto se amplifica si el dispositivo se utiliza en un entorno empresarial o doméstico donde los usuarios acceden a información sensible. La divulgación pública de la vulnerabilidad aumenta el riesgo de explotación por parte de actores maliciosos.

Contexto de Explotación

La vulnerabilidad ha sido divulgada públicamente, lo que aumenta la probabilidad de explotación. No se ha confirmado la inclusión en el KEV de CISA, pero la naturaleza pública de la divulgación sugiere un riesgo moderado. Se recomienda monitorear activamente los foros de seguridad y las fuentes de inteligencia de amenazas en busca de posibles exploits o campañas de ataque dirigidas a este dispositivo.

Quién Está en Riesgotraduciendo…

Home and small business users relying on the Wavlink WL-WN578W2 router for network connectivity are at risk. Users who have not changed the default router configuration or have weak passwords are particularly vulnerable.

Cronología del Ataque

  1. Disclosure

    disclosure

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

EPSS

0.04% (11% percentil)

CISA SSVC

Explotaciónpoc
Automatizableno
Impacto Técnicopartial

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:N/E:P/RL:X/RC:R2.4LOWAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredHighNivel de autenticación requeridoUser InteractionRequiredSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityNoneRiesgo de exposición de datos sensiblesIntegrityLowRiesgo de modificación no autorizada de datosAvailabilityNoneRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Alto — se requiere cuenta de administrador o privilegiada.
User Interaction
Requerida — la víctima debe abrir un archivo, hacer clic en un enlace o visitar una página.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Ninguno — sin impacto en confidencialidad.
Integrity
Bajo — el atacante puede modificar algunos datos con alcance limitado.
Availability
Ninguno — sin impacto en disponibilidad.

Software Afectado

Componentevul_db
ProveedorWavlink
Rango afectadoCorregido en
221110 – 221110221110.0.1

Clasificación de Debilidad (CWE)

CWE-79CWE-94

Cronología

  1. Reservado
  2. Publicada
  3. Modificada
  4. EPSS actualizado
Sin parche — 63 días desde la divulgación

Mitigación y Workarounds

Dado que el proveedor no ha proporcionado una actualización de seguridad, la mitigación se centra en medidas alternativas. Se recomienda cambiar la contraseña predeterminada del dispositivo y limitar el acceso a la interfaz de administración. Implementar un Web Application Firewall (WAF) puede ayudar a filtrar solicitudes maliciosas. Monitorear los registros del dispositivo en busca de actividad sospechosa, como solicitudes POST inusuales a /cgi-bin/login.cgi, es crucial. Aunque no hay una solución directa, estas medidas pueden reducir significativamente el riesgo de explotación.

Cómo corregirlotraduciendo…

Actualizar el firmware del dispositivo Wavlink WL-WN578W2 a una versión que corrija la vulnerabilidad de Cross-Site Scripting (XSS). Dado que el proveedor no ha respondido, se recomienda buscar actualizaciones de firmware no oficiales o considerar la sustitución del dispositivo por uno más seguro.

Boletín de seguridad CVE

Análisis de vulnerabilidades y alertas críticas directamente en tu correo.

Preguntas frecuentestraduciendo…

What is CVE-2026-4544 — XSS in Wavlink WL-WN578W2?

CVE-2026-4544 is a cross-site scripting vulnerability in the Wavlink WL-WN578W2 router version 221110, allowing attackers to inject malicious scripts via the /cgi-bin/login.cgi component.

Am I affected by CVE-2026-4544 in Wavlink WL-WN578W2?

If you are using the Wavlink WL-WN578W2 router version 221110, you are potentially affected by this vulnerability. Consider implementing workarounds until a patch is available.

How do I fix CVE-2026-4544 in Wavlink WL-WN578W2?

Unfortunately, a direct patch is unavailable. Implement workarounds like input validation, WAF rules, and log monitoring as described in the mitigation section.

Is CVE-2026-4544 being actively exploited?

The vulnerability has been publicly disclosed, increasing the risk of exploitation. Active exploitation is possible, though not yet confirmed.

Where can I find the official Wavlink advisory for CVE-2026-4544?

The vendor has not released an official advisory. Monitor security news sources for updates.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs