Uma falha de segurança na Wi-Fi Test Suite pode permitir que invasores locais não autenticados executem comandos arbitrários com privilégios elevados. O CERT Coordination Center (CERT/CC) identificou a vulnerabilidade, registrada como CVE-2024-41992, e informou que o código vulnerável da Wi-Fi Alliance foi encontrado em roteadores Arcadyan FMIMG51AX000J.

Segundo o CERT/CC, a falha permite que um invasor local não autenticado explore a Wi-Fi Test Suite enviando pacotes especialmente manipulados, possibilitando a execução de comandos arbitrários com privilégios de root nos roteadores afetados. O alerta foi divulgado na quarta-feira, destacando a gravidade da vulnerabilidade. A Wi-Fi Test Suite é uma plataforma integrada desenvolvida pela Wi-Fi Alliance para automatizar testes em componentes e dispositivos Wi-Fi. Embora partes do kit de ferramentas estejam disponíveis como código aberto, o pacote completo é restrito aos membros da organização.

A vulnerabilidade foi divulgada inicialmente pela SSD Secure Disclosure em agosto de 2024, que classificou a falha como um caso de injeção de comando, permitindo que um ator malicioso execute comandos com privilégios de root. O pesquisador independente conhecido pelo pseudônimo “fj016” foi creditado pela descoberta e pela notificação da falha à Wi-Fi Alliance em abril de 2024. Além disso, o pesquisador disponibilizou um exploit de prova de conceito (PoC) para demonstrar a vulnerabilidade.

Um invasor que explore com sucesso essa falha pode obter controle administrativo completo sobre o dispositivo afetado, com a capacidade de modificar configurações do sistema, interromper serviços de rede ou até mesmo redefinir o dispositivo.