CRITICAL🇬🇧 English

CVE-2025-46060

Buffer Overflow w TOTOLINK N600R umożliwiający zdalne wykonanie kodu

CVSS 9.8v3.1pub. 2025-06-13upd. 2026-07-05

Podatność typu buffer overflow w routerze TOTOLINK N600R pozwala zdalnemu atakującemu na wykonanie dowolnego kodu bez uwierzytelnienia. Ze względu na sieciowy wektor ataku i brak wymaganych uprawnień stanowi krytyczne zagrożenie dla urządzeń dostępnych z sieci.

Pokaż oryginał (EN)

Buffer Overflow vulnerability in TOTOLINK N600R v4.3.0cu.7866_B2022506 allows a remote attacker to execute arbitrary code via the UPLOAD_FILENAME component

🤖 Analiza AI
Jak działa

Podatność tkwi w komponencie UPLOAD_FILENAME oprogramowania układowego TOTOLINK N600R. Atakujący wysyła spreparowane żądanie zawierające nadmiernie długą wartość w polu UPLOAD_FILENAME, co powoduje przepełnienie bufora (buffer overflow) zgodnie z CWE-120. Brak odpowiedniej walidacji długości danych wejściowych umożliwia nadpisanie obszarów pamięci, co w konsekwencji prowadzi do przejęcia kontroli nad przepływem wykonania programu.

Skutki

Atakujący może zdalnie wykonać dowolny kod na urządzeniu (RCE) bez żadnego uwierzytelnienia, uzyskując pełną kontrolę nad routerem — w tym dostęp do poufnych danych, możliwość modyfikacji konfiguracji sieci oraz potencjalne wykorzystanie urządzenia jako punktu wyjścia do dalszych ataków.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Do czasu aktualizacji zaleca się izolację urządzenia od niezaufanych sieci, zablokowanie dostępu do interfejsu zarządzania z zewnątrz oraz monitorowanie ruchu sieciowego kierowanego do urządzenia.

Kogo dotyczy

TOTOLINK N600R w wersji firmware 4.3.0cu.7866_B2022506

Uwagi

Szczegółowe informacje techniczne dotyczące podatności zostały opublikowane w repozytorium GitHub użytkownika Luanruy (https://github.com/Luanruy/qax/blob/main/CVE-2025-46060_Info.md), co zwiększa ryzyko powstania publicznych exploitów.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Totolink N600r

    HW
    Totolink
    wszystkie wersje
  • Totolink N600r Firmware

    OS
    Totolink
    4.3.0cu.7866_b2022506
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEMemory
CWE
Referencje

Powiązane podatności

CVE-2025-51390CRITICAL9.8PL ✓ten sam produkt

Command injection w TOTOLINK N600R via parametr pin (WPS)

CVE-2025-22900CRITICAL9.8PL ✓ten sam produkt

Stack overflow w Totolink N600R — podatność w funkcji setWanConfig

CVE-2023-43141CRITICAL9.8ten sam produkt

TOTOLINK A3700R V9.1.2u.6134_B20201202 and N600R V5.3c.5137 are vulnerable to Incorrect Access Control.

CVE-2022-28907CRITICAL9.8ten sam produkt

TOTOLink N600R V5.3c.7159_B20190425 was discovered to contain a command injection vulnerability via the hostti...

CVE-2022-28906CRITICAL9.8ten sam produkt

TOTOLink N600R V5.3c.7159_B20190425 was discovered to contain a command injection vulnerability via the langty...