Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-02026

Опубликовано: 15 мар. 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость функции Tunnel 6rd (параметр relay6rd) микропрограммного обеспечения роутеров TOTOLINK X5000R, A7000R связана с возможностью внедрения команд. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

TOTOLink

Наименование ПО

X5000R
A7000R

Версия ПО

9.1.0u.6118_b20201102 (X5000R)
9.1.0u.6115_b20201022 (A7000R)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования и средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания подключений к устройству;
- ограничение доступа из внешних сетей (Интернет);
- использование средств межсетевого экранирования для ограничения удалённого доступа.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 95%
0.1638
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2022-27003

CVSS3: 9.8
nvd
почти 4 года назад

Totolink routers s X5000R V9.1.0u.6118_B20201102 and A7000R V9.1.0u.6115_B20201022 were discovered to contain a command injection vulnerability in the Tunnel 6rd function via the relay6rd parameter. This vulnerability allows attackers to execute arbitrary commands via a crafted request.

github логотип

GHSA-wpvg-rwm7-w52r

CVSS3: 9.8
github
почти 4 года назад

Totolink routers s X5000R V9.1.0u.6118_B20201102 and A7000R V9.1.0u.6115_B20201022 were discovered to contain a command injection vulnerability in the Tunnel 6rd function via the relay6rd parameter. This vulnerability allows attackers to execute arbitrary commands via a crafted request.

EPSS

Процентиль: 95%
0.1638
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2