CVE-2025-5904

Nome do Software Vulnerável e Versões Afetadas TOTOLINK T10 versão 4.1.8cu.5207

Descrição Uma vulnerabilidade crítica foi encontrada no TOTOLINK T10, afetando a função setWiFiMeshName do arquivo /cgi-bin/cstecgi.cgi no componente Manipulador de Solicitações POST. A manipulação do argumento device name resulta em um estouro de buffer. Este ataque pode ser executado remotamente e o exploit foi divulgado publicamente.

Recomendações Como solução temporária, considere desativar a função setWiFiMeshName até que um patch esteja disponível. Restrinja o acesso ao arquivo /cgi-bin/cstecgi.cgi para minimizar o risco de exploração. Evite utilizar o argumento device name no Manipulador de Solicitações POST afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.