A Acer confirmou, em 3 de junho de 2026, que está trabalhando para corrigir duas vulnerabilidades de gravidade máxima em seus roteadores Wave 7, informou o comunicado de segurança publicado pela empresa. As falhas, reportadas pelo pesquisador Gergo Pap, afetam dispositivos com versão de firmware T7c_GBL_1.01.000055 ou anterior. A Acer informou ainda que as correções devem ser lançadas até o final de junho de 2026, conforme comunicado oficial.
Duas falinas de nível máximo
A primeira vulnerabilidade, registrada como CVE-2026-49200, é uma falha de controle de acesso quebrado. Segundo a Acer, o arquivo acer_cgi.log no firmware do dispositivo fica acessível sem autenticação pela interface web. Esse arquivo contém credenciais de login em texto puro (para web e Telnet), levando a acesso não autorizado ao sistema.
A segunda falha, CVE-2026-49201, origina-se de uma chave criptográfica fixa no código (hardcoded). De acordo com a empresa, o binário upload.cgi, responsável pelo processamento de backups do dispositivo, contém uma chave de criptografia AES embutida. Isso permite que um invasor descriptografe, modifique e recriptografe backups do sistema, facilitando a inserção de backdoor persistente.
Recomendações até o lançamento dos patches
A Acer informou que nenhuma correção de segurança está disponível ainda. Até o lançamento dos patches programado para o final de junho de 2026, a empresa recomenda que os clientes desabilitem o gerenciamento remoto ou, se o firmware permitir, restrinjam o acesso remoto pela internet apenas a endereços IP confiáveis. Após a disponibilização das atualizações, a Acer orienta os usuários a acessarem o console de administração do roteador (http://192.168.76.1 ou http://acerconnect.com), fazerem login e, no menu System Management → Firmware Update, verificarem e instalarem as correções.






