Katalog CVE

CVE-2024-52723

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.98%

Percentyl 58 - wyżej niż 58% wszystkich znanych CVE

Streszczenie

W routerze TOTOLINK X6000R w wersji oprogramowania V9.4.0cu.1041_B20240224, w pliku shttpd, funkcja Uci_Set_Str jest używana bez odpowiedniego filtrowania parametrów. Atakujący może wykorzystać tę podatność do wykonania dowolnych poleceń poprzez spreparowanie odpowiedniego ładunku.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego przejęcia kontroli nad urządzeniem przez nieuwierzytelnionego atakującego, co może prowadzić do naruszenia poufności i integralności danych w sieci lokalnej.

Rekomendacja

Zaleca się natychmiastową aktualizację oprogramowania routera TOTOLINK X6000R do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest dostępna, należy ograniczyć dostęp do interfejsu zarządzania tylko do zaufanych sieci.

Oryginalny opis (angielski, źródło NVD)

In TOTOLINK X6000R V9.4.0cu.1041_B20240224 in the shttpd file, the Uci_Set Str function is used without strict parameter filtering. An attacker can achieve arbitrary command execution by constructing the payload.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS