CVE-2024-9001

Nome do software vulnerável e versões afetadas:

TOTOLINK T10 versão 4.1.8cu.5207

Descrição:

Uma vulnerabilidade crítica afeta a função setTracerouteCfg do arquivo /cgi-bin/cstecgi.cgi, permitindo que invasores remotos executem comandos arbitrários no sistema operacional subjacente devido à manipulação do argumento command, levando à injeção de comandos no sistema operacional. A exploração foi divulgada publicamente, e o fornecedor foi contatado, mas não respondeu.

Recomendações:

Para o TOTOLINK T10 versão 4.1.8cu.5207, como solução temporária, considere desativar a função setTracerouteCfg até que um patch esteja disponível. Restrinja o acesso ao arquivo /cgi-bin/cstecgi.cgi para minimizar o risco de exploração. Evite usar o argumento command na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.