PT-2025-14901 · Totolink · Totolink X6000R

Fjl1113

·

Publicado

2025-03-26

·

Atualizado

2026-03-27

·

CVE-2025-3249

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas TOTOLINK A6000R versão 1.0.1-B20201211.2000
Descrição Uma falha crítica foi encontrada na função apcli cancel wps do arquivo /usr/lib/lua/luci/controller/mtkwifi.lua. Esta falha resulta em injeção de comando e pode ser explorada remotamente.
Recomendações Para o TOTOLINK A6000R versão 1.0.1-B20201211.2000, como medida paliativa temporária, considere desativar a função apcli cancel wps até que um patch esteja disponível. Restrinja o acesso ao arquivo /usr/lib/lua/luci/controller/mtkwifi.lua para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

RCE

Special Elements Injection

Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-74CWE-77

Identificadores relacionados

BDU:2025-04084
CVE-2025-3249

Produtos afetados

Totolink X6000R