Podatność typu OS Command Injection w urządzeniu TOTOLINK X6000R umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Ze względu na brak wymagań dotyczących autoryzacji i sieciowy wektor ataku, podatność stanowi krytyczne zagrożenie dla bezpieczeństwa infrastruktury sieciowej.
▸ Pokaż oryginał (EN)
Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') vulnerability in TOTOLINK X6000R allows OS Command Injection.This issue affects X6000R: through V9.4.0cu.1360_B20241207.
Oprogramowanie układowe (firmware) urządzenia TOTOLINK X6000R nieprawidłowo neutralizuje znaki specjalne przekazywane do poleceń systemu operacyjnego (CWE-78). Atakujący może spreparować odpowiednie żądanie sieciowe zawierające złośliwy payload, który zostanie przekazany bezpośrednio do interpretera powłoki systemowej bez wymaganego filtrowania. Nie jest wymagana żadna uwierzytelnianie ani interakcja ze strony użytkownika.
Skuteczne wykorzystanie podatności pozwala atakującemu na wykonanie dowolnych poleceń systemu operacyjnego z uprawnieniami procesu podatnej usługi, co może prowadzić do pełnego przejęcia kontroli nad urządzeniem oraz potencjalnie do naruszeń bezpieczeństwa systemów podłączonych do chronionej sieci.
Należy zaktualizować firmware urządzenia TOTOLINK X6000R do wersji nowszej niż V9.4.0cu.1360_B20241207. Aktualizację można pobrać ze strony producenta wskazanej w referencjach. Do czasu aplikacji patcha zaleca się ograniczenie dostępu do interfejsu zarządzania urządzenia wyłącznie do zaufanych hostów oraz izolację urządzenia od niezaufanych segmentów sieci.
TOTOLINK X6000R z firmware w wersji do V9.4.0cu.1360_B20241207 włącznie.
Podatność została zgłoszona przez Palo Alto Networks Unit 42 (identyfikator wewnętrzny PANW-2025-0002), co wynika z referencji do repozytorium u42-vulnerability-disclosures.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:L/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:N/AU:Y/R:U/V:X/RE:X/U:XTotolink X6000r
HWTotolinkwszystkie wersjeTotolink X6000r Firmware
OSTotolink≤ 9.4.0cu.1360_b20241207
Powiązane podatności
OS Command Injection w TOTOLINK X6000R — zdalne wykonanie poleceń
Command injection w TOTOLINK X6000R – zdalne wykonanie kodu bez uwierzytelnienia
Command injection w TOTOLINK X6000R — zdalne wykonanie poleceń bez uwierzytelnienia
Command Injection w TOTOLINK X6000R — wykonanie dowolnych poleceń
Command injection w TOTOLINK X6000R umożliwia zdalne wykonanie kodu