Injecció d’ordres TOTOLINK CP900 Telnet Service setTelnetCfg
07/08/2024
CVE-2024-7464
CRÍTIC (9,8)
CVSS3: 8,6
TOTOLINK CP900 podria permetre que un atacant remot executi ordres arbitràries al sistema, causat per una vulnerabilitat d’injecció d’ordres a la funció setTelnetCfg del component Telnet Service. En enviar una sol·licitud especialment dissenyada a l’argument telnet_enabled, un atacant podria explotar aquesta vulnerabilitat per executar ordres arbitràries al sistema.
Sistemes Afectats
- TOTOLINK CP900 – 6.3c.566
Remediació
No hi ha cap recurs disponible a partir del 23 de juliol del 2024.
Referències
- https://vuldb.com/?id.273557
- https://vuldb.com/?ctiid.273557
- https://vuldb.com/?submit.381334
- https://github.com/abcdefg-png/IoT-vulnerable/blob/main/TOTOLINK/CP900/setTelnetCfg.md