Een beveiligingsonderzoeker heeft een niet-gedocumenteerde backdoor ontdekt in meerdere versies van de firmware van Tenda, waardoor aanvallers administratieve toegang krijgen tot de webbeheerinterface van apparaten. Deze kwetsbaarheid treft verschillende Tenda routers, switches en andere netwerkapparaten. De kwetsbaarheid, geregistreerd als CVE-2026-11405, is gevonden in de loginfunctie van de webserver en kan worden misbruikt voor authenticatie-omzeiling, waarschuwt het CERT Coordination Center (CERT/CC) van Carnegie Mellon University.

De oorzaak ligt in het mechanisme dat bij een mislukte authenticatie een wachtwoordwaarde uit de configuratie van het apparaat probeert op te halen. Vervolgens wordt alleen het door de gebruiker ingevoerde wachtwoord vergeleken met deze in platte tekst opgeslagen waarde, waarna bij een match administratieve toegang wordt verleend. De gebruikersnaam wordt daarbij niet gevalideerd, waardoor elke gebruikersnaam in combinatie met het backdoor-wachtwoord succesvol is. Deze backdoor is niet gedocumenteerd en niet zichtbaar via enige beheerinterface, aldus CERT/CC.

Succesvolle exploitatie stelt een aanvaller in staat om apparaatconfiguraties en netwerkinstellingen aan te passen en beveiligingsfuncties uit te schakelen, wat kan leiden tot compromittering van het lokale netwerk. CERT/CC meldt dat het niet is gelukt om met de leverancier samen te werken voor een verantwoordelijke melding en dat er nog geen patch beschikbaar is. Gebruikers wordt geadviseerd om de externe webbeheerfunctie van hun apparaten uit te schakelen om ongeautoriseerde toegang te voorkomen en het standaard LAN IP-adres te wijzigen om het risico op detectie door geautomatiseerde scanners te verkleinen.

Daarnaast maakte CERT/CC op dinsdag bekend dat er een ontbrekende autorisatie-kwetsbaarheid bestaat in HP Deskjet 2800-serie printers met firmwareversies tot TBP1CN2612AR. Deze kwetsbaarheid, geregistreerd als CVE-2026-13753, is nog niet gepatcht. Een aanvaller kan onbevoegd GET-verzoeken sturen naar meerdere backend API-eindpunten die zonder authenticatie of sessiestatuscontrole adminconfiguratiegegevens teruggeven, zoals Wi-Fi Direct SSID, platte tekst wachtwoorden, unieke serienummers van printers, service-ID's en details over de status van het adminwachtwoord. Dit maakt het mogelijk om gevoelige configuratie- en beveiligingsgegevens te verkrijgen die normaal alleen voor beheerders toegankelijk zijn.