Acer s’efforce de corriger des failles critiques de type zero-day dans ses routeurs Wave 7

Acer s'efforce de corriger des failles critiques de type zero-day dans ses routeurs Wave 7

Acer a reconnu la présence de deux failles zero-day de gravité maximale sur certains de ses routeurs mesh et travaille à leur correction.

Ces deux failles de sécurité, signalées par le chercheur Gergo Pap, concernent les routeurs Wave 7 équipés d’un micrologiciel de version T7c_GBL_1.01.000055 ou antérieure.

La première vulnérabilité, référencée CVE-2026-49200, est liée à un contrôle d’accès défaillant. Elle peut permettre à des assaillants non authentifiés d’accéder à distance à des identifiants en texte clair, qui sont stockés dans des archives de journaux.

« Le fichier acer_cgi.log dans le micrologiciel de l’appareil est accessible sans authentification via l’interface web. Ce fichier contient les identifiants de connexion en clair (pour le web et Telnet), ce qui mène à un accès non autorisé au système », a précisé Acer.

La seconde faille, CVE-2026-49201, provient d’une clé cryptographique figée dans le code. Elle offre à des attaquants distants, sans privilèges initiaux, un accès persistant de type backdoor au routeur.

« Le binaire upload.cgi, qui est chargé de traiter les sauvegardes de l’appareil, contient une clé de chiffrement AES codée en dur », a ajouté l’entreprise. « Un attaquant peut ainsi déchiffrer, modifier et rechiffrer les sauvegardes système, ce qui facilite l’injection d’une porte dérobée persistante. »

Aucun correctif de sécurité n’est disponible pour le moment. Toutefois, Acer indique préparer des correctifs qui devraient être publiés avant la fin du mois de juin 2026.

L’entreprise « encourage vivement » tous les utilisateurs à mettre à jour le micrologiciel de leurs appareils dès que les mises à jour de sécurité seront publiées, en suivant cette procédure :

  1. Connectez votre ordinateur à votre routeur Acer Wave 7 via Wi-Fi ou un câble Ethernet.
  2. Ouvrez un navigateur web et accédez à la console d’administration du routeur (http://192.168.76.1 ou http://acerconnect.com).
  3. Connectez-vous avec vos identifiants administrateur.
  4. Allez dans Gestion du système, puis sélectionnez Mise à jour du micrologiciel.
  5. Choisissez l’option Vérifier les mises à jour.

En attendant la disponibilité d’un correctif, les clients d’Acer sont invités à désactiver la gestion à distance ou, si le micrologiciel le permet, à limiter l’accès à distance depuis Internet aux seules adresses IP de confiance.