Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

CVE-2026-38702

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-77 Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
28/05/2026
Última modificación:
29/05/2026

Descripción

*** Pendiente de traducción *** A command injection vulnerability exists in the Admin Access feature of InHand Networks IR302 firmware V3.5.108, IR305 firmware V1.0.118, IR315 firmware V1.0.118, IR615 firmware V1.0.118, and earlier versions. Attackers can exploit this vulnerability to obtain ROOT privileges on remote target devices.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:inhandnetworks:ir315_firmware:*:*:*:*:*:*:*:* 1.0.121 (excluyendo)
cpe:2.3:h:inhandnetworks:ir315:-:*:*:*:*:*:*:*
cpe:2.3:o:inhandnetworks:ir302_firmware:*:*:*:*:*:*:*:* 3.5.112 (excluyendo)
cpe:2.3:h:inhandnetworks:ir302:-:*:*:*:*:*:*:*
cpe:2.3:o:inhandnetworks:ir615_firmware:*:*:*:*:*:*:*:* 1.0.121 (excluyendo)
cpe:2.3:h:inhandnetworks:ir615:-:*:*:*:*:*:*:*
cpe:2.3:o:inhandnetworks:ir305_firmware:*:*:*:*:*:*:*:* 1.0.121 (excluyendo)
cpe:2.3:h:inhandnetworks:ir305:-:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información