Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en WiFi Extender WDR201A (CVE-2026-30701)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-798 Credenciales embebidas en el software
Fecha de publicación:
18/03/2026
Última modificación:
23/03/2026

Descripción

La interfaz web del Extensor WiFi WDR201A (HW V2.1, FW LFMZX28040922V1.02) contiene mecanismos de divulgación de credenciales codificados de forma rígida (en forma de Server Side Include) dentro de múltiples páginas web del lado del servidor, incluyendo login.shtml y settings.shtml. Estas páginas incrustan directivas de ejecución del lado del servidor que recuperan y exponen dinámicamente la contraseña de administración web de la memoria no volátil en tiempo de ejecución.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA

Referencias a soluciones, herramientas e información