CRITICAL🇬🇧 English

CVE-2025-11005

OS Command Injection w TOTOLINK X6000R — zdalne wykonanie poleceń

CVSS 9.3v4.0pub. 2025-09-25upd. 2025-10-16

Podatność typu OS Command Injection w oprogramowaniu routera TOTOLINK X6000R umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Ocena CVSS 9.3 (CRITICAL) wskazuje na bardzo wysokie ryzyko dla poufności, integralności i dostępności urządzenia oraz systemów powiązanych.

Pokaż oryginał (EN)

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') vulnerability in TOTOLINK X6000R allows OS Command Injection.This issue affects X6000R: through V9.4.0cu.1458_B20250708.

🤖 Analiza AI
Jak działa

Luka wynika z nieprawidłowej neutralizacji znaków specjalnych przekazywanych do poleceń systemu operacyjnego (CWE-78). Atakujący może dostarczyć odpowiednio spreparowane dane wejściowe zawierające złośliwe sekwencje, które są następnie interpretowane i wykonywane przez powłokę systemową bez odpowiedniej weryfikacji. Atak nie wymaga uwierzytelnienia ani interakcji użytkownika i może być przeprowadzony zdalnie przez sieć.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do systemu operacyjnego urządzenia, odczytać wrażliwe dane konfiguracyjne, zakłócić działanie routera, a także potencjalnie wykorzystać skompromitowane urządzenie do dalszych ataków na sieci wewnętrzne.

Mitygacja

Należy zaktualizować firmware routera TOTOLINK X6000R do wersji nowszej niż V9.4.0cu.1458_B20250708, gdy zostanie udostępniona przez producenta. Do czasu zastosowania patcha zaleca się ograniczenie dostępu do interfejsu zarządzania urządzeniem wyłącznie do zaufanych hostów oraz izolację urządzenia od niezaufanych sieci. Patch należy uzyskać zgodnie z referencjami producenta dostępnymi pod adresem wskazanym w oficjalnej stronie TOTOLINK.

Kogo dotyczy

TOTOLINK X6000R we wszystkich wersjach firmware do V9.4.0cu.1458_B20250708 włącznie.

Uwagi

Podatność została ujawniona przez Palo Alto Networks Unit 42 (referencja PANW-2025-0005 dostępna w repozytorium u42-vulnerability-disclosures na GitHub).

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:H/SC:H/SI:L/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Totolink X6000r

    HW
    Totolink
    wszystkie wersje
  • Totolink X6000r Firmware

    OS
    Totolink
    ≤ 9.4.0cu.1360_b20241207
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2025-52906CRITICAL9.3PL ✓ten sam produkt

OS Command Injection w firmware routera TOTOLINK X6000R

CVE-2025-52053CRITICAL9.8PL ✓ten sam produkt

Command injection w TOTOLINK X6000R – zdalne wykonanie kodu bez uwierzytelnienia

CVE-2024-52723CRITICAL9.8PL ✓ten sam produkt

Command injection w TOTOLINK X6000R — zdalne wykonanie poleceń bez uwierzytelnienia

CVE-2023-52038CRITICAL9.8PL ✓ten sam produkt

Command Injection w TOTOLINK X6000R — wykonanie dowolnych poleceń

CVE-2023-52039CRITICAL9.8PL ✓ten sam produkt

Command injection w TOTOLINK X6000R umożliwia zdalne wykonanie kodu