Yanggao017

**Nome do Software Vulnerável e Versões Afetadas** TOTOLINK A6000R versão V1.0.1-B20201211.2000 **Descrição** Um problema de injeção de comando foi descoberto através do parâmetro `opmode` na função `action reboot`. Isso permite uma potencial exploração. **Recomendações** Para o TOTOLINK A6000R versão V1.0.1-B20201211.2000, como solução temporária, considere restringir o acesso à função `action reboot` até que uma correção esteja disponível. Evite utilizar o parâmetro `opmode` na função afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Nome do Software Vulnerável e Versões Afetadas** Linksys E7350 versão 1.1.00.032 **Descrição** Uma falha de injeção de comando foi descoberta através do parâmetro `ifname` na função `apcli cancel wps`. Isso permite uma potencial exploração. **Recomendações** Para o Linksys E7350 versão 1.1.00.032, considere desabilitar a função `apcli cancel wps` até que um patch esteja disponível para prevenir injeção de comando através do parâmetro `ifname`. Restrinja o acesso à função vulnerável para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Linksys E7350 versão 1.1.00.032 **Descrição** Uma vulnerabilidade de injeção de comando foi descoberta por meio do parâmetro `ifname` na função `apcli do enr pbc wps`. Isso permite uma possível exploração. **Recomendações** Para o Linksys E7350 versão 1.1.00.032, considere desativar a função `apcli do enr pbc wps` até que uma correção esteja disponível. Evite utilizar o parâmetro `ifname` na função afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Linksys E7350 versão 1.1.00.032 **Descrição** Uma vulnerabilidade de injeção de comando foi descoberta através do parâmetro `ifname` na função `apcli do enr pin wps`. Isso permite uma exploração potencial. **Recomendações** Para o Linksys E7350 versão 1.1.00.032, como uma solução temporária, considere restringir o acesso à função `apcli do enr pin wps` até que um patch esteja disponível. Evite usar o parâmetro `ifname` na função afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

**Name of the Vulnerable Software and Affected Versions** TOTOLINK A6000R version V1.0.1-B20201211.2000 **Description** A command injection issue was discovered, affecting the `reset wifi` function through the `devname` parameter. This allows for potential exploitation. No information is provided about the estimated number of affected devices or real-world incidents. **Recommendations** For TOTOLINK A6000R version V1.0.1-B20201211.2000, consider disabling the `reset wifi` function until a patch is available to prevent exploitation via the `devname` parameter. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Linksys E7350 versão 1.1.00.032 **Descrição** Um problema de injeção de comando foi descoberto através do parâmetro `devname` na função `reset wifi`. Isso permite uma potencial exploração. **Recomendações** Para o Linksys E7350 versão 1.1.00.032, considere desativar a função `reset wifi` até que uma correção esteja disponível para prevenir injeção de comando através do parâmetro `devname`. Restrinja o acesso à função `reset wifi` para minimizar o risco de exploração. Evite utilizar o parâmetro `devname` na função afetada até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** TOTOLINK A6000R versão V1.0.1-B20201211.2000 **Descrição** O problema está relacionado ao parâmetro `cmd` na função `webcmd` do firmware do roteador TOTOLINK A6000R, que não neutraliza elementos especiais usados no comando do sistema operacional. Isso pode ser explorado por um invasor remoto para executar código arbitrário enviando um comando especialmente criado. **Recomendações** Para a versão V1.0.1-B20201211.2000, como solução temporária, considere desativar a função `webcmd` até que uma correção esteja disponível. Restrinja o acesso ao parâmetro `cmd` na função `webcmd` para minimizar o risco de exploração. Evite usar o parâmetro `cmd` na função `webcmd` afetada até que o problema seja resolvido.

Nome do software vulnerável e versões afetadas: TOTOLINK A6000R versão 1.0.1-B20201211.2000 Descrição: O problema está relacionado a uma vulnerabilidade de injeção de comando na função `apcli do enr pbc wps`. Essa vulnerabilidade está associada à falha em neutralizar elementos especiais usados no comando do sistema operacional. A exploração dessa vulnerabilidade pode permitir que um invasor remoto execute código arbitrário enviando um comando especialmente criado. O parâmetro `ifname` é especificamente mencionado como o parâmetro vulnerável neste contexto. Recomendações: Para o TOTOLINK A6000R versão 1.0.1-B20201211.2000, como solução temporária, considere desativar a função `apcli do enr pbc wps` até que um patch esteja disponível. Restrinja o acesso ao parâmetro `ifname` vulnerável no endpoint da API afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** TOTOLINK A6000R versão 1.0.1-B20201211.2000 **Descrição** O problema está relacionado a uma vulnerabilidade de injeção de comando na função `apcli do enr pin wps`, especificamente por meio do parâmetro `ifname`. Essa vulnerabilidade pode ser explorada por um invasor remoto para executar comandos arbitrários. A vulnerabilidade é causada pela falta de sanitização adequada de elementos especiais usados no comando ao processar o parâmetro `ifname`. **Recomendações** Para o TOTOLINK A6000R versão 1.0.1-B20201211.2000, considere desativar a função `apcli do enr pin wps` até que um patch esteja disponível para impedir a exploração da vulnerabilidade de injeção de comando por meio do parâmetro `ifname`. Restrinja o acesso à função vulnerável para minimizar o risco de exploração. Evite usar o parâmetro `ifname` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: TOTOLINK A6000R versão V1.0.1-B20201211.2000 Descrição: O problema está relacionado à função apcli wps gen pincode no firmware do roteador TOTOLINK A6000R, que não neutraliza elementos especiais usados em um comando ao processar o parâmetro `ifname`. Isso pode permitir que um invasor remoto execute comandos arbitrários. Recomendações: Para o TOTOLINK A6000R versão V1.0.1-B20201211.2000, considere desativar a função `apcli wps gen pincode` até que um patch esteja disponível para impedir a exploração por meio do parâmetro `ifname`. Restrinja o acesso à função vulnerável para minimizar o risco de exploração. Evite usar o parâmetro `ifname` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: TOTOLINK A6000R versão V1.0.1-B20201211.2000 Descrição: O problema está relacionado à função `get apcli conn info` no firmware do roteador TOTOLINK A6000R, que não neutraliza elementos especiais usados em um comando do sistema operacional. Isso pode ser explorado por um invasor remoto para executar código arbitrário enviando um comando especialmente criado. A vulnerabilidade está especificamente relacionada ao parâmetro `ifname` na função `get apcli conn info`. Recomendações: Para a versão V1.0.1-B20201211.2000 do TOTOLINK A6000R, considere desativar a função `get apcli conn info` até que uma correção esteja disponível para impedir a exploração. Além disso, restrinja o acesso ao parâmetro `ifname` para minimizar o risco de ataques de injeção de comando.

Nome do software vulnerável e versões afetadas: TOTOLINK A6000R versão V1.0.1-B20201211.2000 Descrição: O problema está relacionado à função `apcli cancel wps` no firmware do roteador TOTOLINK A6000R, que não neutraliza elementos especiais usados em um comando do sistema operacional. Isso pode ser explorado por um invasor remoto para executar código arbitrário enviando um comando especialmente criado. A vulnerabilidade está especificamente relacionada ao parâmetro `ifname` na função `apcli cancel wps`. Recomendações: Para a versão V1.0.1-B20201211.2000 do TOTOLINK A6000R, considere desativar a função `apcli cancel wps` até que um patch esteja disponível para impedir a exploração por meio do parâmetro `ifname`. Restrinja o acesso à função vulnerável para minimizar o risco de execução de código arbitrário. Evite usar o parâmetro `ifname` na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Nome do software vulnerável e versões afetadas: TOTOLINK A6000R versão V1.0.1-B20201211.2000 Descrição: Existe uma vulnerabilidade de injeção de comando devido à falta de neutralização de elementos especiais utilizados no comando do sistema operacional. Esta vulnerabilidade está relacionada à função `vif disable` e pode ser explorada por meio do parâmetro `iface`, permitindo que um invasor remoto execute comandos arbitrários. Recomendações: Para o TOTOLINK A6000R versão V1.0.1-B20201211.2000, considere desativar a função `vif disable` como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao parâmetro `iface` na função afetada para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** lua-shmem versão 1.0-1 **Descrição** Foi descoberta uma vulnerabilidade de estouro de buffer no lua-shmem por meio da função `shmem write`. **Recomendações** Para a versão 1.0-1 do lua-shmem, considere desativar a função `shmem write` até que uma correção esteja disponível.

**Nome do software vulnerável e versões afetadas** luci-app-sms-tool versão 1.9-6 **Descrição** Foi detectada uma vulnerabilidade de injeção de comando no luci-app-sms-tool por meio do parâmetro `score`. **Recomendações** Para a versão 1.9-6 do luci-app-sms-tool, evite usar o parâmetro `score` até que uma correção esteja disponível. Considere restringir o acesso à funcionalidade afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** luci-app-lucky versão 2.8.3 **Descrição** O problema está relacionado a credenciais codificadas no software. **Recomendações** Para a versão 2.8.3 do luci-app-lucky, atualize para uma versão em que o problema das credenciais codificadas tenha sido resolvido, se disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.