Wer einen Acer Wave 7 Mesh-Router betreibt, hat gerade zwei unangenehme Schlagzeilen auf dem Schreibtisch: Sicherheitsforscher Gergo Pap hat zwei Zero-Days entdeckt, beide mit dem höchstmöglichen CVSS-Score von 10. Patches existieren noch nicht. Acer arbeitet an einem Firmware-Update, das bis Ende Juni 2026 erscheinen soll — bis dahin bleiben zwei gefährliche Angriffsflächen offen.
Was die Lücken ermöglichen — und warum beide für sich allein reichen
CVE-2026-49200 ist ein Broken-Access-Control-Problem: Die Datei acer_cgi.log ist über die Web-Verwaltungsoberfläche ohne Authentifizierung erreichbar und enthält Zugangsdaten im Klartext — Passwörter für die Web-UI und den Telnet-Zugang. Kein Exploit-Code, keine komplexe Angriffskette, einfach URL aufrufen, Zugangsdaten lesen. Das reicht für vollen Zugriff auf den Router.
CVE-2026-49201 geht eine Ebene tiefer. Das Binary upload.cgi, das Backup-Dateien verarbeitet, enthält einen hardcodierten AES-Schlüssel. Wer ihn kennt — und er lässt sich aus der Firmware extrahieren —, kann Router-Backups entschlüsseln, beliebig modifizieren und neu verschlüsseln. Ein so präpariertes Backup, auf den Router eingespielt, hinterlässt einen persistenten Backdoor-Zugang. (Hardcoded Kryptoschlüssel in einem Consumer-Gerät, das 2024 auf den Markt kam — nicht 2004.)
Beide Lücken sind ohne Authentifizierung ausnutzbar, was den CVSS-Score von 10 rechtfertigt. Zusammen ergeben sie einen nahezu vollständigen Angriffspfad: Credentials abgreifen, Backup manipulieren, persistenten Zugriff sichern.
Was jetzt möglich ist — und was nicht
Acer empfiehlt drei Schritte: Remote Management deaktivieren, den Web-Zugriff auf vertrauenswürdige IP-Adressen beschränken und das Firmware-Update einspielen, sobald es verfügbar ist. Betroffen sind alle Geräte mit Firmware-Version T7c_GBL_1.01.000055 oder älter.
Die Mitigation greift bei CVE-2026-49200 direkt: Wer die Verwaltungsoberfläche nicht aus dem Internet erreichbar macht, entzieht Angreifern von außen den einfachsten Zugang. Bei CVE-2026-49201 gilt das eingeschränkt — die Backdoor-Variante setzt voraus, dass ein Angreifer ein manipuliertes Backup einspielen kann, was lokalen Zugriff oder eine weitere Schwachstelle erfordert. Das senkt den praktischen Angriffsdruck, löst das Problem aber nicht.
Wer den Router als reines Heimnetz-Gerät nutzt und Remote Management nie aktiviert hat, ist aktuell weniger exponiert — sollte aber dennoch auf den Patch warten und ihn direkt einspielen.
Hardcoded Kryptoschlüssel gehören zu den Sicherheitsfehlern, die sich seit Jahren wiederholen: in Consumer-Routern, Industriecontrollern, Netzwerkkameras. Dass CVE-2026-49201 in einem 2024 erschienenen Wi-Fi-7-Gerät steckt, ist ärgerlich, aber kein Einzelfall — es zeigt, dass Security-Audits im Router-Segment zu oft als optionales Feature behandelt werden, nicht als Grundvoraussetzung. Der Acer Wave 7 ist hardwareseitig ein solides Mesh-System; dass er jetzt mit zwei CVSS-10-Lücken in den Schlagzeilen steht, ist ein hausgemachtes Problem. Der Patch kommt Ende Juni — bis dahin die Verwaltungsoberfläche vom Internet trennen und warten.
