Co se vlastně stalo
Na začátku června 2026 zveřejnil Acer bezpečnostní upozornění, podle kterého jeho oblíbené mesh routery Wave 7 trpí dvěma zranitelnostmi s maximálním hodnocením závažnosti 10,0 podle stupnice CVSS 4.0. Objevil je bezpečnostní výzkumník Gergő Pap a dotýkají se všech zařízení s firmwarem verze T7c_GBL_1.01.000055 a starší.
Obě chyby jsou označeny jako zero-day, tedy zranitelnosti, pro něž dosud neexistuje oprava a které tak mohou být zneužity okamžitě po jejich zveřejnění.
Mohlo by vás zajímat
První zranitelnost: hesla leží v logu bez ochrany
Chyba evidovaná jako CVE-2026-49200 se týká špatně nastaveného řízení přístupu. Router ve svém firmwaru uchovává soubor s logy nazvaný acer_cgi.log, přičemž k tomuto souboru lze přistupovat přes webové rozhraní zcela bez přihlášení.
Problém je v tom, co tento soubor obsahuje: přihlašovací hesla k webové administraci i k protokolu Telnet a to v nešifrované podobě. Kdokoli, kdo má přístup k routeru přes internet nebo místní síť, tedy může jednoduše stáhnout tento soubor a získat plný přístup k zařízení.
Mohlo by vás zajímat
Druhá zranitelnost: napevno zakódovaný šifrovací klíč
Druhá chyba, CVE-2026-49201, je technicky složitější, ale neméně nebezpečná. Binární soubor upload.cgi, který v routeru zpracovává zálohy konfigurace, obsahuje napevno zakódovaný šifrovací klíč AES.
Co to v praxi znamená? Útočník může stáhnout zálohu routeru, tímto statickým klíčem ji rozšifrovat, upravit obsah zálohy podle vlastního uvážení (například do ní vložit vlastní backdoor), znovu ji zašifrovat a nahrát zpět do zařízení. Router pak bude trvale kompromitován, a to i po restartu nebo zdánlivém obnovení nastavení.
Mohlo by vás zajímat
Na tohle u Wi-Fi routeru nezapomínejte: Jednoduchý krok, který zabere 10 sekund a zajistí bezpečnost
Tipy a triky
Jak jsou na tom uživatelé teď
Záplata zatím k dispozici není. Acer uvádí, že opravená verze firmwaru by měla být dostupná do konce června 2026. Do té doby firma doporučuje dvě věci:
- Zaprvé, vypněte vzdálenou správu routeru, pokud ji nepotřebujete. Tím výrazně omezíte možnosti vzdáleného zneužití. Zadruhé pokud vzdálenou správu potřebujete, nastavte přístup pouze z důvěryhodných IP adres, pokud to váš firmware umožňuje.
- Jakmile bude aktualizace firmwaru k dispozici, postup bude následující: připojte se k routeru přes Wi-Fi nebo ethernet, v prohlížeči otevřete administrační rozhraní na adrese http://192.168.76.1 nebo http://acerconnect.com, přihlaste se jako administrátor a v sekci Správa systému zvolte možnost Aktualizace firmwaru, kde stačí zkontrolovat dostupné aktualizace.
Mohlo by vás zajímat
Čínští hackeři ovládají tisíce starších routerů Asus: Jak zjistit, jestli mezi nimi není ten váš?
Bezpečnost
Proč jsou podobné chyby tak závažné
Zranitelnosti v domácích a firemních routerech patří mezi nejhorší typy bezpečnostních problémů. Router je totiž vstupní branou veškeré komunikace v síti, a pokud je zkompromitován, útočník může odposlouchávat provoz, přesměrovávat uživatele na falešné stránky nebo proniknout do dalších zařízení v síti.
V případě CVE-2026-49201 je situace obzvlášť nepříjemná, protože trvalý backdoor vložený do zálohy konfigurace přežije i tovární reset, pokud uživatel zálohu znovu nahraje. Uživatelé, kteří zálohy pravidelně používají pro obnovu nastavení, si tak mohou nevědomky obnovit kompromitovaný stav zařízení znovu a znovu.
Zdroj: Acer, NIST, NIST2, Security online, Bleeping computer
5 foto
