Ltzhuster

**Nome do Software Vulnerável e Versões Afetadas** Totolink A8000RU versão 7.1cu.643 b20200521 **Description** Um problema de injeção de comando de SO existe na Interface de Gerenciamento Web. Um invasor remoto pode explorar isso manipulando o argumento `enable` dentro da função `setStaticDhcpRules()` do endpoint '/cgi-bin/cstecgi.cgi'. A injeção de comando de SO é uma falha que permite que um invasor execute comandos arbitrários do sistema operacional no servidor. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Totolink A8000RU versão 7.1cu.643 b20200521 **Descrição** Um problema de injeção de comando de SO existe na Interface de Gerenciamento Web. Isso ocorre quando o argumento `provider` é manipulado dentro da função `setDdnsCfg()` do endpoint '/cgi-bin/cstecgi.cgi'. Esta falha permite que um invasor remoto execute comandos arbitrários do sistema operacional. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso ao endpoint '/cgi-bin/cstecgi.cgi' ou desative a função `setDdnsCfg()` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Totolink A8000RU versão 7.1cu.643 b20200521 **Description** Um problema de injeção de comando de SO existe na Interface de Gerenciamento Web. Um invasor remoto pode manipular o argumento `lang` dentro da função `setLanguageCfg()` do endpoint '/cgi-bin/cstecgi.cgi' para executar comandos arbitrários do sistema operacional. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso ao endpoint '/cgi-bin/cstecgi.cgi' ou à Interface de Gerenciamento Web para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Totolink A8000RU versão 7.1cu.643 b20200521 **Description** Uma falha de segurança na Interface de Gerenciamento Web permite que atacantes remotos realizem a injeção de comandos do sistema operacional (OS command injection). Isso ocorre por meio da manipulação do argumento `resetFlags` dentro da função `setUpgradeFW()` do endpoint '/cgi-bin/cstecgi.cgi'. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Totolink A8000RU versão 7.1cu.643 b20200521 **Description** Uma falha de injeção de comando de SO existe na Interface de Gerenciamento Web. Um invasor remoto pode explorar isso manipulando o argumento `mode` dentro da função `setScheduleCfg()` do endpoint '/cgi-bin/cstecgi.cgi'. A injeção de comando de SO é uma falha que permite a um invasor executar comandos arbitrários do sistema operacional no servidor. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Totolink A8000RU versão 7.1cu.643 b20200521 **Descrição** Um problema de injeção de comando de SO existe na Interface de Gerenciamento Web. Isso ocorre quando o argumento `firewallType` é manipulado dentro da função `setFirewallType()` do endpoint '/cgi-bin/cstecgi.cgi', permitindo que um invasor remoto execute comandos arbitrários do sistema operacional. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Totolink A8000RU versão 7.1cu.643 b20200521 **Descrição** Uma fraqueza na Interface de Gerenciamento Web permite a injeção remota de comandos do sistema operacional. Isso ocorre por meio da manipulação do argumento `enable` dentro da função `setRemoteCfg()` do endpoint '/cgi-bin/cstecgi.cgi'. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Totolink A8000RU versão 7.1cu.643 b20200521 **Description** Um problema de injeção de comando de SO existe na Interface de Gerenciamento Web. Atacantes remotos podem explorar isso manipulando o argumento `ip` dentro da função `setDiagnosisCfg()` do endpoint '/cgi-bin/cstecgi.cgi'. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Totolink A8000RU versão 7.1cu.643 b20200521 **Description** Uma falha de injeção de comando de SO existe na Interface de Gerenciamento Web. O problema ocorre na função `setGameSpeedCfg()` do endpoint '/cgi-bin/cstecgi.cgi'. A exploração remota é possível através da manipulação do argumento `enable`, permitindo a execução de comandos arbitrários do sistema operacional. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Totolink A8000RU versão 7.1cu.643 b20200521 **Descrição** Um problema de injeção de comando de SO existe na Interface de Gerenciamento Web. Isso ocorre por meio da manipulação do argumento `command` dentro da função `setTracerouteCfg()` do endpoint '/cgi-bin/cstecgi.cgi'. Esta falha permite que um invasor remoto execute comandos arbitrários do sistema operacional. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Totolink A8000RU versão 7.1cu.643 b20200521 **Descrição** Um problema de injeção de comando de SO existe no componente CGI Handler. Um invasor remoto pode iniciar um ataque manipulando o argumento `proto` no endpoint '/cgi-bin/cstecgi.cgi'. A injeção de comando de SO é uma falha que permite a um invasor executar comandos arbitrários do sistema operacional na máquina alvo. **Recomendações** Para a versão 7.1cu.643 b20200521, restrinja o acesso ao endpoint '/cgi-bin/cstecgi.cgi' ou evite usar o argumento `proto` até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Tenda F456 versão 1.0.0.5 **Description** Uma falha no componente httpd permite que um ataque remoto cause um estouro de buffer (buffer overflow), que ocorre quando um programa escreve mais dados em uma área de armazenamento do que ela pode suportar. O problema está localizado na função `fromNatlimitof()` dentro do arquivo '/goform/Natlimit'. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Tenda F456 versão 1.0.0.5 **Description** Um problema de injeção de comando remoto existe no componente httpd. O problema ocorre na função `FromWriteFacMac()` do arquivo `/goform/WriteFacMac`. A manipulação do argumento `mac` permite que um invasor remoto execute comandos arbitrários. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, considere restringir o acesso ao endpoint `/goform/WriteFacMac` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Tenda F456 versão 1.0.0.5 **Descrição** Um estouro de buffer (buffer overflow) pode ser desencadeado remotamente no componente httpd. O problema reside na função `formQuickIndex()` localizada no arquivo `/goform/QuickIndex`, onde a manipulação do argumento `mit linktype` resulta no estouro. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Totolink A8000RU versão 7.1cu.643 b20200521 **Descrição** Uma falha de injeção de comando de SO existe no componente CGI Handler. Atacantes remotos e não autenticados podem executar comandos arbitrários do sistema operacional ao manipular o argumento `pptpPassThru` dentro da função `setVpnPassCfg()` do endpoint '/cgi-bin/cstecgi.cgi'. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Tenda FH1202 versão 1.2.0.14(408) **Descrição** Um estouro de buffer baseado em pilha (stack-based buffer overflow) existe no componente httpd, na função `WrlExtraSet()` do arquivo `/goform/WrlExtraSet`. Este problema pode ser acionado remotamente através da manipulação do argumento `Go`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Tenda FH1202 versão 1.2.0.14 **Descrição** Um estouro de buffer baseado em pilha (stack-based buffer overflow) existe no componente `httpd` dentro da função `fromWrlclientSet()` do arquivo `/goform/WrlclientSet`. Este problema permite que um invasor remoto desencadeie o estouro ao manipular o argumento `Go`. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso ao endpoint `/goform/WrlclientSet` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Tenda F456 versão 1.0.0.5 **Description** Um estouro de buffer existe no componente httpd do firmware. O problema ocorre na função `fromWrlclientSet()` localizada no arquivo `/goform/WrlclientSet`. Além disso, a função `formQuickIndex()` está suscetível a uma operação de memória fora dos limites ao processar o parâmetro `mit linktype`. Um invasor remoto pode explorar essas falhas enviando uma requisição POST especialmente formulada para causar a negação de serviço ou executar código arbitrário. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Tenda F456 versão 1.0.0.5 **Description** Um estouro de buffer remoto existe na função `fromP2pListFilter()` dentro do arquivo `/goform/P2pListFilter`. Este problema ocorre quando o argumento `menufacturer/Go` é manipulado. **Recommendations** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Tenda i9 versão 1.0.0.5(2204) **Descrição** Um problema de path traversal existe no componente HTTP Handler, especificamente na função `R7WebsSecurityHandlerfunction()`. Esta falha permite que atacantes remotos manipulem caminhos para acessar arquivos ou diretórios não autorizados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.