Acer работает над устранением двух уязвимостей нулевого дня максимальной степени опасности в mesh-маршрутизаторах Acer Wave 7 – оба идентификатора получили по 10 баллов из 10 по шкале CVSS 4.0. На момент публикации исправления нет: бреши уже раскрыты публично, а обновление прошивки только готовится.
Acer Wave 7 – это mesh-система Wi-Fi 7 для домашних сетей. Обе уязвимости обнаружил исследователь безопасности Гергё Пап (Gergo Pap), а компания опубликовала рекомендации по безопасности 29 мая 2026 года и сама выступила регистратором (CNA) при назначении идентификаторов. Под угрозой находятся маршрутизаторы Wave 7 с прошивкой версии T7c_GBL_1.01.000055 и более ранних.
Первая уязвимость (CVE-2026-49200) относится к нарушению контроля доступа. Файл журнала acer_cgi.log в прошивке устройства доступен через веб-интерфейс без аутентификации, а внутри него в открытом виде хранятся учётные данные для входа – как к веб-интерфейсу, так и к Telnet. Иными словами, неаутентифицированный злоумышленник просто читает журнал и получает действующие логин и пароль, а вместе с ними – неавторизованный доступ к системе. По классификации это запись конфиденциальных данных в журнал (CWE-532).
Вторая уязвимость (CVE-2026-49201) связана с жёстко зашитым в прошивку криптографическим ключом (CWE-798). Исполняемый файл upload.cgi, который обрабатывает резервные копии устройства, содержит встроенный ключ шифрования AES. Зная этот ключ, злоумышленник может расшифровать резервную копию системы, изменить её и заново зашифровать – и тем самым внедрить в прошивку постоянную программную закладку. Атака выполняется удалённо и не требует никаких привилегий.
По отдельности одна уязвимость выдаёт готовые учётные данные, а вторая – постоянный скрытый доступ. В связке они дают полный сценарий компрометации: от входа в систему под чужими данными до закрепления в устройстве, которое переживёт перезагрузку.
Оценку 10 из 10 обе бреши получили из-за сочетания факторов в векторе CVSS 4.0 (AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H): атака идёт по сети, имеет низкую сложность, не требует ни прав доступа, ни особых условий, ни участия пользователя, при этом полностью затрагивает конфиденциальность, целостность и доступность как самого устройства, так и сопряжённых с ним систем.
По оценке CISA, признаков эксплуатации в реальных атаках пока нет, однако обе уязвимости помечены как пригодные к автоматизации с полным техническим воздействием, а это означает высокий потенциал для массовых атак, если появится готовый эксплойт.
Пока обновление прошивки не вышло, Acer рекомендует отключить удалённое управление либо, если прошивка это позволяет, ограничить удалённый доступ из интернета только доверенными IP-адресами. Дополнительно имеет смысл свести управление маршрутизатором к локальной сети и отключить Telnet, а после установки патча сменить учётные данные веб-интерфейса – они могли утечь через уязвимый журнал.
Acer также настоятельно рекомендует всем пользователям обновить прошивку сразу после выхода исправлений, выполнив следующие шаги:
- Подключите компьютер к маршрутизатору Acer Wave 7 по Wi-Fi или кабелю Ethernet.
- Откройте веб-браузер и перейдите в консоль управления маршрутизатором (http://192.168.76.1 или http://acerconnect.com).
- Войдите под учётными данными администратора.
- Перейдите в раздел System Management, затем выберите Firmware Update.
- Нажмите Check for Updates.