Podatność w firmware routera TOTOLINK X6000R umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Wysoki wynik CVSS 9.8 wskazuje na krytyczne zagrożenie dla urządzeń dostępnych z sieci.
▸ Pokaż oryginał (EN)
An issue discovered in TOTOLINK X6000R v9.4.0cu.852_B20230719 allows attackers to run arbitrary commands via the sub_41284C function.
Problem dotyczy funkcji sub_41284C w oprogramowaniu firmware TOTOLINK X6000R w wersji 9.4.0cu.852_B20230719. Funkcja ta nie weryfikuje poprawnie danych wejściowych, co pozwala na wstrzyknięcie i wykonanie dowolnych poleceń systemowych (command injection). Atak nie wymaga uwierzytelnienia, interakcji użytkownika ani szczególnych uprawnień — wystarczy dostęp sieciowy do urządzenia.
Atakujący może przejąć pełną kontrolę nad urządzeniem, wykonując dowolne polecenia systemowe z poziomem uprawnień procesu obsługującego podatną funkcję, co może prowadzić do naruszenia poufności, integralności i dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się ograniczenie dostępu do panelu zarządzania urządzeniem wyłącznie z zaufanych sieci oraz zablokowanie dostępu z Internetu za pomocą firewall.
TOTOLINK X6000R Firmware w wersji 9.4.0cu.852_B20230719
Szczegółowy opis techniczny podatności dostępny jest w referencjach na GitHub pod adresem: https://github.com/Beckaf/vunl/blob/main/TOTOLINK/X6000R/3/3.md
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HTotolink X6000r
HWTotolinkwszystkie wersjeTotolink X6000r Firmware
OSTotolink9.4.0cu.852_b20230719
Powiązane podatności
OS Command Injection w TOTOLINK X6000R — zdalne wykonanie poleceń
OS Command Injection w firmware routera TOTOLINK X6000R
Command injection w TOTOLINK X6000R – zdalne wykonanie kodu bez uwierzytelnienia
Command injection w TOTOLINK X6000R — zdalne wykonanie poleceń bez uwierzytelnienia
Command Injection w TOTOLINK X6000R — wykonanie dowolnych poleceń