CVE-2026-9404

Nome do Software Vulnerável e Versões Afetadas Totolink A8000RU versão 7.1cu.643 b20200521

Descrição Um problema de injeção de comando de SO existe na Interface de Gerenciamento Web. Isso ocorre quando o argumento provider é manipulado dentro da função setDdnsCfg() do endpoint '/cgi-bin/cstecgi.cgi'. Esta falha permite que um invasor remoto execute comandos arbitrários do sistema operacional.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade. Como medida paliativa temporária, restrinja o acesso ao endpoint '/cgi-bin/cstecgi.cgi' ou desative a função setDdnsCfg() para minimizar o risco de exploração.