Vulnerabilidad 10/10 en routers Acer: además envía las contraseñas sin cifrar
Acer confirma vulnerabilidades críticas en el router Wave 7 y promete un parche para finales de junio de 2026.
Los propietarios de los routers Acer Wave 7 deberán seguir de cerca las actualizaciones. En el dispositivo se han detectado dos vulnerabilidades críticas, cada una recibió la máxima puntuación de peligro 10,0 sobre 10. Acer está preparando un parche y planea publicarlo antes de finales de junio de 2026. Los problemas afectan a los routers Acer Wave 7 con el firmware T7c_GBL_1.01.000055 y versiones anteriores. La empresa informó que las vulnerabilidades se detectaron durante una auditoría de seguridad independiente y se remitieron a Acer para su corrección.
La primera vulnerabilidad CWE-532 (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H — 10,0 (Crítica)) está relacionada con una configuración incorrecta de acceso. El archivo acer_cgi.log se puede abrir a través de la interfaz web del router sin iniciar sesión en la cuenta. En el archivo se almacenan nombres de usuario y contraseñas en texto claro, incluidas las credenciales para la interfaz web y Telnet. Si un atacante accede a ese archivo, el router puede quedar completamente bajo su control.
El segundo problema CWE-798 (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H — 10,0 (Crítica)) afecta a la protección de las copias de seguridad del dispositivo. En el programa upload.cgi, que las procesa, se encontró una clave de cifrado AES incorporada. Debido a esto, un atacante puede descifrar una copia de seguridad, modificarla, volver a cifrarla y cargarla de nuevo en el dispositivo. Este método permite persistir en el sistema y añadir acceso oculto.
Acer ya está preparando una actualización de firmware que debería corregir ambas vulnerabilidades. La compañía aconseja a los propietarios de Acer Wave 7 instalar la corrección tan pronto como esté disponible para reducir el riesgo de intrusión y mantener el funcionamiento normal del dispositivo.
Se puede comprobar la actualización en el panel de administración del router. Para ello, es necesario conectarse al dispositivo por cable o por Wi-Fi, abrir en el navegador la dirección http://192.168.76.1 o http://acerconnect.com, iniciar sesión con la cuenta de administrador, ir a la sección de gestión del sistema y seleccionar actualización de firmware.
Durante la instalación, Acer pide no reiniciar el router ni desconectar la alimentación. Si se interrumpe el proceso, la actualización puede finalizar con error.