PT-2022-17092 · Totolink Technology · Totolink T6
Publicado
2022-02-18
·
Atualizado
2022-02-28
·
CVE-2022-25135
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Roteador TOTOLINK Technology T6 V3 Versão de firmware T6 V3 V4.1.5cu.748 B20211015
Descrição
Uma vulnerabilidade de injeção de comando na função
recv mesh info sync permite que invasores executem comandos arbitrários por meio de um pacote MQTT malicioso. Isso pode ser explorado enviando-se um pacote especialmente criado para a função vulnerável, o que pode levar a acesso e controle não autorizados.Recomendações
Para o roteador TOTOLINK Technology T6 V3 Versão do firmware T6 V3 V4.1.5cu.748 B20211015, considere desativar a função
recv mesh info sync até que uma correção esteja disponível para impedir a exploração por meio de pacotes MQTT criados especificamente para esse fim. Restrinja o acesso ao endpoint MQTT para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Totolink T6