CRITICAL🇬🇧 English

CVE-2024-52723

Command injection w TOTOLINK X6000R — zdalne wykonanie poleceń bez uwierzytelnienia

CVSS 9.8v3.1pub. 2024-11-22upd. 2026-07-05

Podatność typu command injection w firmware TOTOLINK X6000R pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnych poleceń systemowych. Ze względu na brak wymaganego uwierzytelnienia i sieciowy wektor ataku, podatność stanowi krytyczne zagrożenie dla wszystkich urządzeń wystawionych na dostęp zewnętrzny.

Pokaż oryginał (EN)

In TOTOLINK X6000R V9.4.0cu.1041_B20240224 in the shttpd file, the Uci_Set Str function is used without strict parameter filtering. An attacker can achieve arbitrary command execution by constructing the payload.

🤖 Analiza AI
Jak działa

W pliku shttpd firmware TOTOLINK X6000R funkcja Uci_Set_Str przetwarza dane wejściowe bez odpowiedniej filtracji parametrów. Atakujący może skonstruować specjalnie spreparowany payload zawierający złośliwe polecenia systemowe, które zostaną wykonane przez urządzenie bez żadnej weryfikacji. Podatność jest dostępna zdalnie przez sieć bez konieczności posiadania jakichkolwiek poświadczeń.

Skutki

Atakujący uzyskuje możliwość wykonania dowolnych poleceń z uprawnieniami procesu shttpd na urządzeniu, co w praktyce oznacza pełne przejęcie kontroli nad routerem — naruszenie poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się ograniczenie dostępu do interfejsu zarządzania urządzeniem wyłącznie do zaufanych adresów IP oraz izolację urządzenia od publicznej sieci Internet.

Kogo dotyczy

TOTOLINK X6000R w wersji firmware V9.4.0cu.1041_B20240224

Uwagi

Publicznie dostępny proof-of-concept (PoC) opublikowany na platformie GitHub (gist.github.com/M4rg4tr01d) może obniżyć próg wejścia dla potencjalnych atakujących.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Totolink X6000r

    HW
    Totolink
    wszystkie wersje
  • Totolink X6000r Firmware

    OS
    Totolink
    9.4.0cu.1041_b20240224
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2025-11005CRITICAL9.3PL ✓ten sam produkt

OS Command Injection w TOTOLINK X6000R — zdalne wykonanie poleceń

CVE-2025-52906CRITICAL9.3PL ✓ten sam produkt

OS Command Injection w firmware routera TOTOLINK X6000R

CVE-2025-52053CRITICAL9.8PL ✓ten sam produkt

Command injection w TOTOLINK X6000R – zdalne wykonanie kodu bez uwierzytelnienia

CVE-2023-52038CRITICAL9.8PL ✓ten sam produkt

Command Injection w TOTOLINK X6000R — wykonanie dowolnych poleceń

CVE-2023-52039CRITICAL9.8PL ✓ten sam produkt

Command injection w TOTOLINK X6000R umożliwia zdalne wykonanie kodu