CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-70327

Critical
Published: Translated: NVD NIST

Summary

TOTOLINK X5000R w wersji v9.1.0cu_2415_B20250515 zawiera podatność na wstrzykiwanie argumentów w handlerze setDiagnosisCfg w wykonywalnym pliku /usr/sbin/lighttpd. Parametr ip jest pobierany przez websGetVar i przekazywany do polecenia ping bez walidacji, co pozwala na wstrzykiwanie dowolnych opcji wiersza poleceń.

Risk Assessment

Podatność ta umożliwia zdalnym, uwierzytelnionym atakującym wstrzykiwanie poleceń, co może prowadzić do Denial of Service (DoS) poprzez nadmierne zużycie zasobów lub wydłużenie czasu wykonania.

Recommendation

Zaleca się aktualizację urządzenia do najnowszej wersji oprogramowania, która naprawia tę podatność oraz wdrożenie mechanizmów walidacji wejścia dla parametrów przekazywanych do poleceń systemowych.

Original NVD description (English source)

TOTOLINK X5000R v9.1.0cu_2415_B20250515 contains an argument injection vulnerability in the setDiagnosisCfg handler of the /usr/sbin/lighttpd executable. The ip parameter is retrieved via websGetVar and passed to a ping command through CsteSystem without validating if the input starts with a hyphen (-). This allows remote authenticated attackers to inject arbitrary command-line options into the ping utility, potentially leading to a Denial of Service (DoS) by causing excessive resource consumption or prolonged execution.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS