PT-2025-10123 · Totolink · Totolink Ex1800T
Selph
·
Publicado
2025-03-07
·
Atualizado
2025-06-23
·
CVE-2025-2094
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do Software Vulnerável e Versões Afetadas
TOTOLINK EX1800T versão 9.1.0cu.2112 B20220316
Descrição
Uma falha crítica foi encontrada na função setWiFiExtenderConfig do arquivo /cgi-bin/cstecgi.cgi. A manipulação do argumento
apcliKey/key leva à injeção de comandos no sistema operacional. Esta falha pode ser explorada remotamente.Recomendações
Para o TOTOLINK EX1800T versão 9.1.0cu.2112 B20220316, como solução temporária, considere restringir o acesso à função
setWiFiExtenderConfig no arquivo /cgi-bin/cstecgi.cgi para minimizar o risco de exploração. Evite usar o argumento apcliKey/key no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
OS Command Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Totolink Ex1800T