CVE-2024-52723
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 58 - wyżej niż 58% wszystkich znanych CVE
Streszczenie
W routerze TOTOLINK X6000R w wersji oprogramowania V9.4.0cu.1041_B20240224, w pliku shttpd, funkcja Uci_Set_Str jest używana bez odpowiedniego filtrowania parametrów. Atakujący może wykorzystać tę podatność do wykonania dowolnych poleceń poprzez spreparowanie odpowiedniego ładunku.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego przejęcia kontroli nad urządzeniem przez nieuwierzytelnionego atakującego, co może prowadzić do naruszenia poufności i integralności danych w sieci lokalnej.
Rekomendacja
Zaleca się natychmiastową aktualizację oprogramowania routera TOTOLINK X6000R do najnowszej dostępnej wersji, która usuwa tę podatność. Jeśli aktualizacja nie jest dostępna, należy ograniczyć dostęp do interfejsu zarządzania tylko do zaufanych sieci.
Oryginalny opis (angielski, źródło NVD)
In TOTOLINK X6000R V9.4.0cu.1041_B20240224 in the shttpd file, the Uci_Set Str function is used without strict parameter filtering. An attacker can achieve arbitrary command execution by constructing the payload.

