Podatność typu OS Command Injection w oprogramowaniu routera TOTOLINK X6000R umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Ocena CVSS 9.3 (CRITICAL) wskazuje na bardzo wysokie ryzyko dla poufności, integralności i dostępności urządzenia oraz systemów powiązanych.
▸ Pokaż oryginał (EN)
Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') vulnerability in TOTOLINK X6000R allows OS Command Injection.This issue affects X6000R: through V9.4.0cu.1458_B20250708.
Luka wynika z nieprawidłowej neutralizacji znaków specjalnych przekazywanych do poleceń systemu operacyjnego (CWE-78). Atakujący może dostarczyć odpowiednio spreparowane dane wejściowe zawierające złośliwe sekwencje, które są następnie interpretowane i wykonywane przez powłokę systemową bez odpowiedniej weryfikacji. Atak nie wymaga uwierzytelnienia ani interakcji użytkownika i może być przeprowadzony zdalnie przez sieć.
Atakujący może uzyskać nieautoryzowany dostęp do systemu operacyjnego urządzenia, odczytać wrażliwe dane konfiguracyjne, zakłócić działanie routera, a także potencjalnie wykorzystać skompromitowane urządzenie do dalszych ataków na sieci wewnętrzne.
Należy zaktualizować firmware routera TOTOLINK X6000R do wersji nowszej niż V9.4.0cu.1458_B20250708, gdy zostanie udostępniona przez producenta. Do czasu zastosowania patcha zaleca się ograniczenie dostępu do interfejsu zarządzania urządzeniem wyłącznie do zaufanych hostów oraz izolację urządzenia od niezaufanych sieci. Patch należy uzyskać zgodnie z referencjami producenta dostępnymi pod adresem wskazanym w oficjalnej stronie TOTOLINK.
TOTOLINK X6000R we wszystkich wersjach firmware do V9.4.0cu.1458_B20250708 włącznie.
Podatność została ujawniona przez Palo Alto Networks Unit 42 (referencja PANW-2025-0005 dostępna w repozytorium u42-vulnerability-disclosures na GitHub).
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:L/VA:H/SC:H/SI:L/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XTotolink X6000r
HWTotolinkwszystkie wersjeTotolink X6000r Firmware
OSTotolink≤ 9.4.0cu.1360_b20241207
Powiązane podatności
OS Command Injection w firmware routera TOTOLINK X6000R
Command injection w TOTOLINK X6000R – zdalne wykonanie kodu bez uwierzytelnienia
Command injection w TOTOLINK X6000R — zdalne wykonanie poleceń bez uwierzytelnienia
Command Injection w TOTOLINK X6000R — wykonanie dowolnych poleceń
Command injection w TOTOLINK X6000R umożliwia zdalne wykonanie kodu