Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2022-04656

Опубликовано: 15 мар. 2022
Источник: fstec
CVSS3: 9.8
CVSS2: 7.5
EPSS Средний

Описание

Уязвимость функции setUpgradeFW (параметр FileName) микропрограммного обеспечения роутеров TOTOLINK A800R, TOTOLINK A810R, TOTOLINK A830R, TOTOLINK A950RG, TOTOLINK A3000RU, TOTOLINK A3100R связана с отсутствием мер по очистке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды

Вендор

TOTOLink

Наименование ПО

A800R
A830R
A3100R
A950RG
A3000RU
A810R

Версия ПО

4.1.2cu.5137_B20200730 (A800R)
5.9c.4729_B20191112 (A830R)
4.1.2cu.5050_B20200504 (A3100R)
4.1.2cu.5161_B20200903 (A950RG)
5.9c.5185_B20201128 (A3000RU)
4.1.2cu.5182_B20201026 (A810R)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Обновление микропрограммного обеспечения роутеров TOTOLINK A800R, TOTOLINK A810R, TOTOLINK A830R, TOTOLINK A950RG, TOTOLINK A3000RU, TOTOLINK A3100R до более новой версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 96%
0.22276
Средний

9.8 Critical

CVSS3

7.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-26210

CVSS3: 9.8
nvd
почти 4 года назад

Totolink A830R V5.9c.4729_B20191112, A3100R V4.1.2cu.5050_B20200504, A950RG V4.1.2cu.5161_B20200903, A800R V4.1.2cu.5137_B20200730, A3000RU V5.9c.5185_B20201128, and A810R V4.1.2cu.5182_B20201026 were discovered to contain a command injection vulnerability in the function setUpgradeFW, via the FileName parameter. This vulnerability allows attackers to execute arbitrary commands via a crafted request.

github логотип

GHSA-c3h9-pm7m-68qp

CVSS3: 9.8
github
почти 4 года назад

Totolink A830R V5.9c.4729_B20191112, A3100R V4.1.2cu.5050_B20200504, A950RG V4.1.2cu.5161_B20200903, A800R V4.1.2cu.5137_B20200730, A3000RU V5.9c.5185_B20201128, and A810R V4.1.2cu.5182_B20201026 were discovered to contain a command injection vulnerability in the function setUpgradeFW, via the FileName parameter. This vulnerability allows attackers to execute arbitrary commands via a crafted request.

EPSS

Процентиль: 96%
0.22276
Средний

9.8 Critical

CVSS3

7.5 High

CVSS2