CVE-2025-6393

Nome do Software Vulnerável e Versões Afetadas: TOTOLINK A702R versões 3.0.0-B20230809.1615 até 4.1.2cu.5232 B20210713 TOTOLINK A3002R versões 3.0.0-B20230809.1615 até 4.1.2cu.5232 B20210713 TOTOLINK A3002RU versões 3.0.0-B20230809.1615 até 4.1.2cu.5232 B20210713 TOTOLINK EX1200T versões 3.0.0-B20230809.1615 até 4.1.2cu.5232 B20210713

Descrição: Um problema crítico foi encontrado no componente Manipulador de Requisições HTTP POST dos dispositivos afetados. O problema reside em uma função desconhecida do arquivo /boafrm/formIPv6Addr, onde a manipulação do argumento submit-url leva a um estouro de buffer. Isso pode ser explorado remotamente. O exploit foi divulgado publicamente.

Recomendações: Para TOTOLINK A702R versões 3.0.0-B20230809.1615 até 4.1.2cu.5232 B20210713, restrinja o acesso ao arquivo /boafrm/formIPv6Addr para minimizar o risco de exploração. Para TOTOLINK A3002R versões 3.0.0-B20230809.1615 até 4.1.2cu.5232 B20210713, evite usar o argumento submit-url no Manipulador de Requisições HTTP POST afetado até que o problema seja resolvido. Para TOTOLINK A3002RU versões 3.0.0-B20230809.1615 até 4.1.2cu.5232 B20210713, considere desativar temporariamente o componente Manipulador de Requisições HTTP POST como uma solução alternativa. Para TOTOLINK EX1200T versões 3.0.0-B20230809.1615 até 4.1.2cu.5232 B20210713, como uma medida de mitigação temporária, limite o acesso remoto ao dispositivo até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.