В Totolink A3300R 17.0.0cu.557_B20221024 обнаружена уязвимость безопасности. Затронутым элементом является функция vsetTr069Cfg файла /cgi-bin/cstecgi.cgi. Манипулирование аргументом stun_pass приводит к внедрению команды os.
Эксплойт был раскрыт публично и может быть использован.
Показать оригинальное описание (EN)
A security vulnerability has been detected in Totolink A3300R 17.0.0cu.557_B20221024. The impacted element is the function vsetTr069Cfg of the file /cgi-bin/cstecgi.cgi. The manipulation of the argument stun_pass leads to os command injection. The exploit has been disclosed publicly and may be used.
Характеристики атаки
Способ атаки
Смежная сеть
Нужен доступ к локальной сети
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Ссылки 6
https://github.com/Svigo-o/TOTOLINK-Vul/tree/main/totolink-a3300r-stun-pass-cmd…
cna@vuldb.com
https://vuldb.com/submit/792650
cna@vuldb.com
https://vuldb.com/submit/792798
cna@vuldb.com
https://vuldb.com/vuln/355506
cna@vuldb.com
https://vuldb.com/vuln/355506/cti
cna@vuldb.com
https://www.totolink.net/
cna@vuldb.com