Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-05798

Опубликовано: 23 апр. 2025
Источник: fstec
CVSS3: 7.3
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость функции NTPSyncWithHost() микропрограммного обеспечения маршрутизаторов Totolink связана с непринятием мер по нейтрализации специальных элементов параметра hostTime. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Вендор

TOTOLink

Наименование ПО

A800R
A950RG
A3000RU
A810R
A3100R
A830R

Версия ПО

4.1.2cu.5137_B20200730 (A800R)
4.1.2cu.5161_B20200903 (A950RG)
5.9c.5185_B20201128 (A3000RU)
4.1.2cu.5182_B20201026 (A810R)
4.1.2cu.5247_B20211129 (A3100R)
4.1.2cu.5182_B20201102 (A830R)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование межсетевого экрана уровня приложений (WAF);
- ограничение доступа к веб-интерфейсу управления устройством;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания попыток эксплуатации уязвимости;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 87%
0.03263
Низкий

7.3 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-28034

CVSS3: 9.8
nvd
10 месяцев назад

TOTOLINK A800R V4.1.2cu.5137_B20200730, A810R V4.1.2cu.5182_B20201026, A830R V4.1.2cu.5182_B20201102, A950RG V4.1.2cu.5161_B20200903, A3000RU V5.9c.5185_B20201128, and A3100R V4.1.2cu.5247_B20211129 were found to contain a pre-auth remote command execution vulnerability in the NTPSyncWithHost function through the hostTime parameter.

github логотип

GHSA-p2gm-m8q4-6r5q

CVSS3: 9.8
github
10 месяцев назад

TOTOLINK A800R V4.1.2cu.5137_B20200730, A810R V4.1.2cu.5182_B20201026, A830R V4.1.2cu.5182_B20201102, A950RG V4.1.2cu.5161_B20200903, A3000RU V5.9c.5185_B20201128, and A3100R V4.1.2cu.5247_B20211129 were found to contain a pre-auth remote command execution vulnerability in the NTPSyncWithHost function through the hostTime parameter.

EPSS

Процентиль: 87%
0.03263
Низкий

7.3 High

CVSS3

7.5 High

CVSS2