CVE-2025-5785

Nome do Software Vulnerável e Versões Afetadas TOTOLINK X15 versão 1.0.0-B20230714.1105

Descrição Um problema crítico afeta o TOTOLINK X15, onde a manipulação do argumento submit-url no arquivo /boafrm/formWirelessTbl do componente HTTP POST Request Handler leva a um estouro de buffer. Isso pode ser explorado remotamente, potencialmente permitindo que um atacante execute comandos arbitrários ou cause uma negação de serviço ao enviar uma solicitação POST especialmente criada para o "Endpoint da API: /boafrm/formWirelessTbl". O exploit foi divulgado publicamente.

Recomendações Para o TOTOLINK X15 versão 1.0.0-B20230714.1105, como solução temporária, considere restringir o acesso ao endpoint da API /boafrm/formWirelessTbl até que um patch esteja disponível. Evite usar o parâmetro submit-url no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.