CVE-2024-41317

Nome do software vulnerável e versões afetadas:

TOTOLINK A6000R versão 1.0.1-B20201211.2000

Descrição:

O problema está relacionado a uma vulnerabilidade de injeção de comando na função apcli do enr pbc wps. Essa vulnerabilidade está associada à falha em neutralizar elementos especiais usados no comando do sistema operacional. A exploração dessa vulnerabilidade pode permitir que um invasor remoto execute código arbitrário enviando um comando especialmente criado. O parâmetro ifname é especificamente mencionado como o parâmetro vulnerável neste contexto.

Recomendações:

Para o TOTOLINK A6000R versão 1.0.1-B20201211.2000, como solução temporária, considere desativar a função apcli do enr pbc wps até que um patch esteja disponível. Restrinja o acesso ao parâmetro ifname vulnerável no endpoint da API afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.