Plataforma
other
Componente
vul_db
Corregido en
240425.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el dispositivo Wavlink WL-NU516U1, específicamente en la versión 240425. Esta falla permite a un atacante inyectar scripts maliciosos en la página web del dispositivo, potencialmente comprometiendo la confidencialidad y la integridad de los datos del usuario. El exploit ya ha sido publicado, lo que aumenta el riesgo de explotación. Se recomienda a los usuarios actualizar el firmware o implementar medidas de mitigación.
La vulnerabilidad XSS en el Wavlink WL-NU516U1 permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite la página web vulnerable. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso el acceso a información sensible almacenada en el dispositivo. Dado que el exploit es público, el riesgo de explotación es significativo, especialmente en entornos donde el dispositivo se utiliza para acceder a redes internas o datos confidenciales. La falta de autenticación en la ruta afectada amplifica el impacto, permitiendo la explotación sin necesidad de credenciales.
El exploit para esta vulnerabilidad ha sido publicado, lo que indica una alta probabilidad de explotación. La vulnerabilidad se encuentra en una categoría de riesgo baja según el CVSS, pero la disponibilidad de un PoC público aumenta significativamente el riesgo. No se ha confirmado explotación activa en campañas conocidas, pero la naturaleza pública del exploit sugiere que podría ser utilizado en ataques dirigidos o integrados en herramientas de explotación automatizadas. La divulgación temprana al proveedor indica un esfuerzo por mitigar el riesgo.
Small businesses and home users relying on Wavlink WL-NU516U1 routers, particularly those with exposed router management interfaces or weak password policies, are at risk. Shared hosting environments utilizing this router as a gateway could also be impacted.
disclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar el firmware del Wavlink WL-NU516U1 a una versión corregida por el fabricante. Si la actualización no está disponible de inmediato, se recomienda implementar medidas de seguridad adicionales, como la configuración de un Web Application Firewall (WAF) para filtrar el tráfico malicioso y bloquear las solicitudes que contienen scripts sospechosos. Además, se pueden aplicar reglas de seguridad en el router para restringir el acceso al dispositivo desde redes no confiables. Es crucial monitorear los registros del dispositivo en busca de actividad inusual que pueda indicar un intento de explotación.
Actualizar el firmware del router Wavlink WL-NU516U1 a una versión posterior a 240425 que corrija la vulnerabilidad XSS. Consultar el sitio web del fabricante para obtener la última versión del firmware y las instrucciones de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4166 is a cross-site scripting vulnerability in the Wavlink WL-NU516U1 router version 240425, allowing attackers to inject malicious scripts.
If you are using a Wavlink WL-NU516U1 router with firmware version 240425, you are potentially affected by this vulnerability.
Upgrade to a patched firmware version from Wavlink when available. Until then, use a WAF and strict input validation.
A public proof-of-concept exploit is available, suggesting a potential for active exploitation.
Refer to Wavlink's official website or security advisories for updates and information regarding CVE-2026-4166.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.