Ltzhust

**Nome do Software Vulnerável e Versões Afetadas** Totolink A8000RU versão 7.1cu.643 b20200521 **Description** Uma falha de injeção de comando de SO existe na Interface de Gerenciamento Web. Um invasor remoto pode executar isso manipulando o argumento `servername` dentro da função `setOpenVpnCertGenerationCfg()` do endpoint '/cgi-bin/cstecgi.cgi'. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Totolink A8000RU versão 7.1cu.643 b20200521 **Description** Um problema de injeção de comando de SO existe na Interface de Gerenciamento Web. O problema ocorre na função `setIpQosRules()` do endpoint '/cgi-bin/cstecgi.cgi'. A exploração remota é possível através da manipulação do argumento `Comment`, o que permite a execução de comandos arbitrários do sistema operacional. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Totolink A8000RU versão 7.1cu.643 b20200521 **Description** A injeção de comando de sistema operacional é possível através da Interface de Gerenciamento Web. O problema reside na função `UploadFirmwareFile()` no endpoint '/cgi-bin/cstecgi.cgi', onde a manipulação inadequada do argumento `FileName` permite a execução de ataques remotamente. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Totolink A8000RU versão 7.1cu.643 b20200521 **Description** A injeção de comando de SO é possível na Interface de Gerenciamento Web através da função `setOpenVpnCfg()` localizada no endpoint '/cgi-bin/cstecgi.cgi'. Este problema ocorre quando o argumento `enabled` é manipulado, permitindo que um invasor remoto execute comandos arbitrários do sistema operacional. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Totolink A8000RU versão 7.1cu.643 b20200521 **Description** Um problema de injeção de comando de SO existe na Interface de Gerenciamento Web. Um invasor remoto pode explorar isso manipulando argumentos passados para a função `setWanCfg()` no endpoint '/cgi-bin/cstecgi.cgi'. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Totolink A8000RU versão 7.1cu.643 b20200521 **Description** Um problema de injeção de comando de SO existe na Interface de Gerenciamento Web, dentro da função `UploadOpenVpnCert()` do endpoint '/cgi-bin/cstecgi.cgi'. Isso ocorre devido à manipulação inadequada do argumento `FileName`, permitindo a exploração remota. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Totolink A8000RU versão 7.1cu.643 b20200521 **Descrição** Um problema de injeção de comando de SO existe no componente CGI Handler. Um invasor remoto pode manipular o argumento `enable` dentro da função `setPptpServerCfg()` do endpoint '/cgi-bin/cstecgi.cgi' para executar comandos arbitrários do sistema operacional. **Recomendações** Atualize o Totolink A8000RU versão 7.1cu.643 b20200521 para uma versão corrigida. Como medida paliativa temporária, restrinja o acesso ao endpoint '/cgi-bin/cstecgi.cgi' para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Totolink A8000RU versão 7.1cu.643 b20200521 **Descrição** A injeção de comando de SO pode ser acionada remotamente através do componente CGI Handler. O problema existe na função `setUrlFilterRules()` dentro do endpoint '/cgi-bin/cstecgi.cgi', onde a manipulação inadequada do argumento `enable` permite a execução de comandos arbitrários do sistema operacional. **Recomendações** Como medida paliativa temporária, considere restringir o acesso ao endpoint '/cgi-bin/cstecgi.cgi' ou desativar a função `setUrlFilterRules()` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Tenda F456 versão 1.0.0.5 **Descrição** Um estouro de buffer (buffer overflow) pode ser acionado remotamente no componente httpd. O problema existe na função `fromDhcpListClient()` localizada no arquivo '/goform/DhcpListClient', onde a manipulação inadequada do argumento `page` permite a ocorrência do estouro. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, considere restringir o acesso ao endpoint '/goform/DhcpListClient' para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Totolink A8000RU versão 7.1cu.643 b20200521 **Descrição** Um problema de injeção de comando de SO existe no componente CGI Handler. Um invasor remoto pode explorar isso manipulando o argumento `wscDisabled` dentro da função `setWiFiWpsStart()` do endpoint '/cgi-bin/cstecgi.cgi'. **Recomendações** Como medida paliativa temporária, considere restringir o acesso ao endpoint '/cgi-bin/cstecgi.cgi' ou desativar a função `setWiFiWpsStart()` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Tenda F456 versão 1.0.0.5 **Description** Um estouro de buffer (buffer overflow) pode ser desencadeado remotamente no componente httpd. O problema existe na função `fromwebExcptypemanFilter()` localizada no arquivo '/goform/webExcptypemanFilter', onde a manipulação inadequada do argumento `page` causa o estouro. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso ao endpoint '/goform/webExcptypemanFilter' para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Tenda F456 versão 1.0.0.5 **Description** Um estouro de buffer (buffer overflow) existe no componente httpd. O problema ocorre na função `fromSetIpBind()` do endpoint '/goform/SetIpBind' quando o argumento `page` é manipulado. Esta falha permite ataques remotos. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Tenda F456 versão 1.0.0.5 **Descrição** Um estouro de buffer (buffer overflow) pode ser acionado remotamente no componente httpd. O problema existe na função `fromPPTPUserSetting()` localizada no endpoint '/goform/PPTPUserSetting', onde a manipulação do argumento `delno` leva ao estouro. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Tenda F456 versão 1.0.0.5 **Descrição** Um estouro de buffer (buffer overflow) existe no componente httpd, especificamente na função `fromAdvSetWan()` do endpoint '/goform/AdvSetWan'. Este problema permite que um invasor remoto provoque o estouro ao manipular o argumento `wanmode`. Este endpoint faz parte dos manipuladores de configuração WAN, que são críticos por estarem intimamente integrados à lógica de conectividade central. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso ao endpoint '/goform/AdvSetWan' para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Tenda F456 versão 1.0.0.5 **Descrição** Um estouro de buffer (buffer overflow) pode ser acionado remotamente através da manipulação do argumento `page` dentro da função `frmL7ImForm()` localizada no endpoint '/goform/L7Im'. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Tenda F456 versão 1.0.0.5 **Descrição** Um estouro de buffer ocorre no componente `httpd` dentro da função `fromSafeUrlFilter()` do arquivo `/goform/SafeUrlFilter`. Este problema permite que um invasor remoto provoque o estouro ao manipular o argumento `page`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions Totolink A7100RU versão 7.4cu.2313 b20191024 Description Uma fraqueza foi identificada no Totolink A7100RU versão 7.4cu.2313 b20191024. A função `setMiniuiHomeInfoShow` dentro do arquivo `/cgi-bin/cstecgi.cgi` do componente CGI Handler é afetada. A manipulação do argumento `lan info` pode levar à injeção de comandos do sistema operacional. Este ataque pode ser realizado remotamente. Um exploit público está disponível. Recommendations Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como medida temporária, restrinja o acesso ao arquivo `/cgi-bin/cstecgi.cgi`.

Name of the Vulnerable Software and Affected Versions Totolink A7100RU versão 7.4cu.2313 b20191024 Description Uma falha de segurança existe no componente CGI Handler do Totolink A7100RU versão 7.4cu.2313 b20191024. A manipulação do argumento `telnet enabled` dentro da função `setTelnetCfg` no arquivo /cgi-bin/cstecgi.cgi pode levar à injeção de comandos do sistema operacional. Isso permite a execução remota de comandos. Um exploit público está disponível. Recommendations Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como medida temporária, restrinja o acesso ao arquivo /cgi-bin/cstecgi.cgi.

Name of the Vulnerable Software and Affected Versions Totolink A7100RU versão 7.4cu.2313 b20191024 Description Existe uma falha de segurança no roteador Totolink A7100RU. A função `setAdvancedInfoShow` dentro do componente CGI Handler, especificamente no arquivo `/cgi-bin/cstecgi.cgi`, é suscetível à injeção de comandos do sistema operacional. Isso ocorre através da manipulação do argumento `tty server`. O ataque pode ser iniciado remotamente. A exploração foi divulgada publicamente. Recommendations Para a versão Totolink A7100RU 7.4cu.2313 b20191024, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Name of the Vulnerable Software and Affected Versions Totolink A7100RU versão 7.4cu.2313 b20191024 Description Uma falha foi identificada no componente CGI Handler do Totolink A7100RU. Especificamente, a função `setWiFiGuestCfg` dentro do arquivo `/cgi-bin/cstecgi.cgi` é suscetível à injeção de comandos do sistema operacional através da manipulação do argumento `wifiOff`. Isso permite a execução remota de comandos no sistema afetado. Recommendations Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como medida temporária, restrinja o acesso ao arquivo `/cgi-bin/cstecgi.cgi`.