CVE-2024-41316

Nome do software vulnerável e versões afetadas:

TOTOLINK A6000R versão V1.0.1-B20201211.2000

Descrição:

O problema está relacionado à função apcli cancel wps no firmware do roteador TOTOLINK A6000R, que não neutraliza elementos especiais usados em um comando do sistema operacional. Isso pode ser explorado por um invasor remoto para executar código arbitrário enviando um comando especialmente criado. A vulnerabilidade está especificamente relacionada ao parâmetro ifname na função apcli cancel wps.

Recomendações:

Para a versão V1.0.1-B20201211.2000 do TOTOLINK A6000R, considere desativar a função apcli cancel wps até que um patch esteja disponível para impedir a exploração por meio do parâmetro ifname. Restrinja o acesso à função vulnerável para minimizar o risco de execução de código arbitrário. Evite usar o parâmetro ifname na função afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.