PT-2024-5358 · Totolink · Totolink X6000R
Yanggao017
·
Publicado
2024-07-23
·
Atualizado
2024-08-01
·
CVE-2024-41319
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
TOTOLINK A6000R versão V1.0.1-B20201211.2000
Descrição
O problema está relacionado ao parâmetro
cmd na função webcmd do firmware do roteador TOTOLINK A6000R, que não neutraliza elementos especiais usados no comando do sistema operacional. Isso pode ser explorado por um invasor remoto para executar código arbitrário enviando um comando especialmente criado.Recomendações
Para a versão V1.0.1-B20201211.2000, como solução temporária, considere desativar a função
webcmd até que uma correção esteja disponível. Restrinja o acesso ao parâmetro cmd na função webcmd para minimizar o risco de exploração. Evite usar o parâmetro cmd na função webcmd afetada até que o problema seja resolvido.Exploit
Correção
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Totolink X6000R