Injecció d’ordres TOTOLINK CP900 Telnet Service setTelnetCfg

ALERTES

07/08/2024

CVE-2024-7464

CRÍTIC (9,8)

CVSS3: 8,6

TOTOLINK CP900 podria permetre que un atacant remot executi ordres arbitràries al sistema, causat per una vulnerabilitat d’injecció d’ordres a la funció setTelnetCfg del component Telnet Service. En enviar una sol·licitud especialment dissenyada a l’argument telnet_enabled, un atacant podria explotar aquesta vulnerabilitat per executar ordres arbitràries al sistema.

Sistemes Afectats

  • TOTOLINK CP900 – 6.3c.566

Remediació
No hi ha cap recurs disponible a partir del 23 de juliol del 2024.

Referències

  • https://vuldb.com/?id.273557
  • https://vuldb.com/?ctiid.273557
  • https://vuldb.com/?submit.381334
  • https://github.com/abcdefg-png/IoT-vulnerable/blob/main/TOTOLINK/CP900/setTelnetCfg.md