PT-2024-27683 · Totolink · Totolink X6000R
Lakemoon602
·
Publicado
2024-06-20
·
Atualizado
2024-07-03
·
CVE-2024-37626
CVSS v3.1
8.8
Alta
| Vetor | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
TOTOLINK A6000R versão 1.0.1-B20201211.2000
Descrição
Uma vulnerabilidade de injeção de comando permite que um invasor remoto execute código arbitrário por meio do parâmetro
iface na função vif enable. Isso permite que o invasor injete e execute comandos, podendo levar ao acesso não autorizado ou ao controle do sistema.Recomendações
Para o TOTOLINK A6000R versão 1.0.1-B20201211.2000, considere desativar a função
vif enable até que um patch esteja disponível para impedir a exploração da vulnerabilidade de injeção de comando. Restrinja o acesso ao parâmetro iface para minimizar o risco de execução de código arbitrário. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Totolink X6000R