CVE-2025-6137

Nome do Software Vulnerável e Versões Afetadas TOTOLINK T10 versão 4.1.8cu.5207

Descrição Uma vulnerabilidade crítica foi identificada na função setWiFiScheduleCfg do arquivo /cgi-bin/cstecgi.cgi, que faz parte do componente Manipulador de Solicitação HTTP POST. A manipulação do argumento desc resulta em um estouro de buffer. Esta falha pode ser explorada remotamente. O exploit foi divulgado publicamente.

Recomendações Para o TOTOLINK T10 versão 4.1.8cu.5207, como medida paliativa temporária, considere desativar a função setWiFiScheduleCfg até que um patch esteja disponível. Restrinja o acesso ao arquivo /cgi-bin/cstecgi.cgi para minimizar o risco de exploração. Evite utilizar o argumento desc no Manipulador de Solicitação HTTP POST afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.