CVE-2025-6402

Nome do Software Vulnerável e Versões Afetadas: TOTOLINK X15 versão 1.0.0-B20230714.1105

Descrição: Uma vulnerabilidade crítica foi identificada no componente manipulador de solicitações HTTP POST do TOTOLINK X15, afetando o arquivo /boafrm/formIpv6Setup. A manipulação do argumento submit-url resulta em um estouro de buffer. Este problema pode ser iniciado remotamente. O exploit foi divulgado ao público e pode ser utilizado. A vulnerabilidade está relacionada à restrição inadequada de operações dentro dos limites de um buffer de memória e à cópia de buffer sem verificação do tamanho da entrada, também conhecida como um estouro de buffer clássico.

Recomendações: Para o TOTOLINK X15 versão 1.0.0-B20230714.1105, como medida paliativa temporária, considere restringir o acesso ao arquivo /boafrm/formIpv6Setup e ao componente manipulador de solicitações HTTP POST para minimizar o risco de exploração. Evite utilizar o argumento submit-url no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações disponíveis sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.