PT-2024-7950 · Totolink · Totolink X6000R
Yanggao017
·
Publicado
2024-07-22
·
Atualizado
2024-08-01
·
CVE-2024-41315
CVSS v2.0
7.7
Alta
| Vetor | AV:A/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
TOTOLINK A6000R versão 1.0.1-B20201211.2000
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de comando na função
apcli do enr pin wps, especificamente por meio do parâmetro ifname. Essa vulnerabilidade pode ser explorada por um invasor remoto para executar comandos arbitrários. A vulnerabilidade é causada pela falta de sanitização adequada de elementos especiais usados no comando ao processar o parâmetro ifname.Recomendações
Para o TOTOLINK A6000R versão 1.0.1-B20201211.2000, considere desativar a função
apcli do enr pin wps até que um patch esteja disponível para impedir a exploração da vulnerabilidade de injeção de comando por meio do parâmetro ifname. Restrinja o acesso à função vulnerável para minimizar o risco de exploração. Evite usar o parâmetro ifname na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Totolink X6000R