CVE-2025-7077

Nome do Software Vulnerável e Versões Afetadas: Shenzhen Libituo Technology LBT-T300-T310 versões até a 2.2.3.6

Descrição: Uma vulnerabilidade crítica foi encontrada no software afetado. Este problema afeta a função config 3g para do arquivo /appy.cgi. A manipulação dos argumentos username 3g e password 3g resulta em um estouro de buffer. É possível iniciar o ataque remotamente. O exploit foi divulgado publicamente e pode ser utilizado. Outros parâmetros também podem estar afetados. O fabricante foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma.

Recomendações: Para as versões do Shenzhen Libituo Technology LBT-T300-T310 até a 2.2.3.6, considere desabilitar a função config 3g para do arquivo /appy.cgi para prevenir exploração até que um patch esteja disponível. Restrinja o acesso aos parâmetros username 3g e password 3g no endpoint da API afetado para minimizar o risco de exploração. Evite usar os parâmetros username 3g e password 3g no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.