CVE-2026-7242

Nome do Software Vulnerável e Versões Afetadas Totolink A8000RU versão 7.1cu.643 b20200521

Descrição Uma falha de injeção de comando de SO existe no componente CGI Handler. O problema ocorre porque a função setOpenVpnClientCfg() no endpoint '/cgi-bin/cstecgi.cgi' não sanitiza adequadamente a entrada do argumento enabled. Isso permite que um invasor remoto e não autenticado execute comandos arbitrários do sistema operacional ao enviar uma requisição HTTP especialmente elaborada.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, considere restringir o acesso ao endpoint '/cgi-bin/cstecgi.cgi' ou desativar a função setOpenVpnClientCfg() para minimizar o risco de exploração.