CRITICAL🇬🇧 English

CVE-2025-52906

OS Command Injection w firmware routera TOTOLINK X6000R

CVSS 9.3v4.0pub. 2025-09-24upd. 2025-10-14

Podatność typu OS Command Injection w urządzeniu TOTOLINK X6000R umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Ze względu na brak wymagań dotyczących autoryzacji i sieciowy wektor ataku, podatność stanowi krytyczne zagrożenie dla bezpieczeństwa infrastruktury sieciowej.

Pokaż oryginał (EN)

Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') vulnerability in TOTOLINK X6000R allows OS Command Injection.This issue affects X6000R: through V9.4.0cu.1360_B20241207.

🤖 Analiza AI
Jak działa

Oprogramowanie układowe (firmware) urządzenia TOTOLINK X6000R nieprawidłowo neutralizuje znaki specjalne przekazywane do poleceń systemu operacyjnego (CWE-78). Atakujący może spreparować odpowiednie żądanie sieciowe zawierające złośliwy payload, który zostanie przekazany bezpośrednio do interpretera powłoki systemowej bez wymaganego filtrowania. Nie jest wymagana żadna uwierzytelnianie ani interakcja ze strony użytkownika.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na wykonanie dowolnych poleceń systemu operacyjnego z uprawnieniami procesu podatnej usługi, co może prowadzić do pełnego przejęcia kontroli nad urządzeniem oraz potencjalnie do naruszeń bezpieczeństwa systemów podłączonych do chronionej sieci.

Mitygacja

Należy zaktualizować firmware urządzenia TOTOLINK X6000R do wersji nowszej niż V9.4.0cu.1360_B20241207. Aktualizację można pobrać ze strony producenta wskazanej w referencjach. Do czasu aplikacji patcha zaleca się ograniczenie dostępu do interfejsu zarządzania urządzenia wyłącznie do zaufanych hostów oraz izolację urządzenia od niezaufanych segmentów sieci.

Kogo dotyczy

TOTOLINK X6000R z firmware w wersji do V9.4.0cu.1360_B20241207 włącznie.

Uwagi

Podatność została zgłoszona przez Palo Alto Networks Unit 42 (identyfikator wewnętrzny PANW-2025-0002), co wynika z referencji do repozytorium u42-vulnerability-disclosures.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:L/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:N/AU:Y/R:U/V:X/RE:X/U:X
  • Totolink X6000r

    HW
    Totolink
    wszystkie wersje
  • Totolink X6000r Firmware

    OS
    Totolink
    ≤ 9.4.0cu.1360_b20241207
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2025-11005CRITICAL9.3PL ✓ten sam produkt

OS Command Injection w TOTOLINK X6000R — zdalne wykonanie poleceń

CVE-2025-52053CRITICAL9.8PL ✓ten sam produkt

Command injection w TOTOLINK X6000R – zdalne wykonanie kodu bez uwierzytelnienia

CVE-2024-52723CRITICAL9.8PL ✓ten sam produkt

Command injection w TOTOLINK X6000R — zdalne wykonanie poleceń bez uwierzytelnienia

CVE-2023-52038CRITICAL9.8PL ✓ten sam produkt

Command Injection w TOTOLINK X6000R — wykonanie dowolnych poleceń

CVE-2023-52039CRITICAL9.8PL ✓ten sam produkt

Command injection w TOTOLINK X6000R umożliwia zdalne wykonanie kodu