CVE-2022-32449

CRÍTIC: (9.8)

CVSS3: 8.9

TOTOLINK EX300 podria permetre a un atacant remot executar ordres arbitràries en el sistema, causat per una vulnerabilitat d’injecció d’ordres en la funció setLanguageCfg. En enviar un paquet de dades MQTT especialment dissenyat amb el paràmetre langType, un atacant podria explotar aquesta vulnerabilitat per a executar ordres arbitràries en el sistema.

Sistemes Afectats

• TOTOLINK EX300 V2 V4.0.3c.7484

Remediació
No hi ha cap remei disponible en data de 7 de juliol de 2022.

Referències

• https://github.com/winmt/CVE/blob/main/TOTOLINK%20EX300_V2/README.md
• https://www.totolink.net/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-32449