CVE-2025-5901

Nome do Software Vulnerável e Versões Afetadas TOTOLINK T10 versão 4.1.8cu.5207

Descrição Uma vulnerabilidade crítica foi identificada na função UploadCustomModule do arquivo /cgi-bin/cstecgi.cgi, que faz parte do componente POST Request Handler. A manipulação do argumento File leva a um estouro de buffer. Este problema pode ser explorado remotamente. Um exploit público foi divulgado, o qual pode ser utilizado.

Recomendações Como medida de contorno temporária, considere desativar a função UploadCustomModule até que um patch esteja disponível. Restrinja o acesso ao arquivo /cgi-bin/cstecgi.cgi para minimizar o risco de exploração. Evite usar o argumento File no endpoint de API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.