CVE-2026-24432

Опубликовано: 26 янв. 2026

Источник: nvd

CVSS3: 4.3

EPSS Низкий

Описание

Shenzhen Tenda W30E V2 firmware versions up to and including V16.01.0.19(5037) lack cross-site request forgery (CSRF) protections on administrative endpoints, including those used to change administrator account credentials. As a result, an attacker can craft malicious requests that, when triggered by an authenticated user’s browser, modify administrative passwords and other configuration settings.

Ссылки

https://www.tendacn.com/product/W30E
Product
https://www.vulncheck.com/advisories/tenda-w30e-v2-missing-csrf-protections-for-administrative-actions
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:tenda:w30e_firmware:*:*:*:*:*:*:*:*

Версия до 16.01.0.19\(5037\) (включая)

cpe:2.3:h:tenda:w30e:-:*:*:*:*:*:*:*

EPSS

Процентиль: 4%

0.0002

Низкий

4.3 Medium

CVSS3

Дефекты

CWE-352

Связанные уязвимости

GHSA-5rh5-q22h-69wj

CVSS3: 4.3

github

8 дней назад

BDU:2026-00917

CVSS3: 4.3

fstec

9 дней назад

Уязвимость микропрограммного обеспечения беспроводных Wi-Fi маршрутизаторов Tenda W30E, связанная с подделкой межсайтовых запросов, позволяющая нарушителю осуществить CSRF-атаку

EPSS

Процентиль: 4%

0.0002

Низкий

4.3 Medium

CVSS3

Дефекты

CWE-352