CVE-2025-7615

Nome do Software Vulnerável e Versões Afetadas: TOTOLINK T6 versão 4.1.5cu.748

Descrição: Existe uma vulnerabilidade crítica no componente manipulador de solicitações HTTP POST do TOTOLINK T6. A vulnerabilidade ocorre devido a uma injeção de comandos na função clearPairCfg dentro do arquivo /cgi-bin/cstecgi.cgi. O argumento ip pode ser manipulado para executar comandos arbitrários remotamente. O exploit para este problema foi divulgado publicamente.

Recomendações: Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade. Como solução temporária, considere restringir o acesso ao arquivo /cgi-bin/cstecgi.cgi. Evite usar o parâmetro ip no endpoint de API afetado /cgi-bin/cstecgi.cgi até que o problema seja resolvido.