Podatność typu command injection w firmware TOTOLINK X6000R pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnych poleceń systemowych. Ze względu na brak wymaganego uwierzytelnienia i sieciowy wektor ataku, podatność stanowi krytyczne zagrożenie dla wszystkich urządzeń wystawionych na dostęp zewnętrzny.
▸ Pokaż oryginał (EN)
In TOTOLINK X6000R V9.4.0cu.1041_B20240224 in the shttpd file, the Uci_Set Str function is used without strict parameter filtering. An attacker can achieve arbitrary command execution by constructing the payload.
W pliku shttpd firmware TOTOLINK X6000R funkcja Uci_Set_Str przetwarza dane wejściowe bez odpowiedniej filtracji parametrów. Atakujący może skonstruować specjalnie spreparowany payload zawierający złośliwe polecenia systemowe, które zostaną wykonane przez urządzenie bez żadnej weryfikacji. Podatność jest dostępna zdalnie przez sieć bez konieczności posiadania jakichkolwiek poświadczeń.
Atakujący uzyskuje możliwość wykonania dowolnych poleceń z uprawnieniami procesu shttpd na urządzeniu, co w praktyce oznacza pełne przejęcie kontroli nad routerem — naruszenie poufności, integralności i dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsu zarządzania urządzeniem wyłącznie do zaufanych adresów IP oraz izolację urządzenia od publicznej sieci Internet.
TOTOLINK X6000R w wersji firmware V9.4.0cu.1041_B20240224
Publicznie dostępny proof-of-concept (PoC) opublikowany na platformie GitHub (gist.github.com/M4rg4tr01d) może obniżyć próg wejścia dla potencjalnych atakujących.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HTotolink X6000r
HWTotolinkwszystkie wersjeTotolink X6000r Firmware
OSTotolink9.4.0cu.1041_b20240224
Powiązane podatności
OS Command Injection w TOTOLINK X6000R — zdalne wykonanie poleceń
OS Command Injection w firmware routera TOTOLINK X6000R
Command injection w TOTOLINK X6000R – zdalne wykonanie kodu bez uwierzytelnienia
Command Injection w TOTOLINK X6000R — wykonanie dowolnych poleceń
Command injection w TOTOLINK X6000R umożliwia zdalne wykonanie kodu