Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-10700

Опубликовано: 22 апр. 2025
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции setNoticeCfg микропрограммного обеспечения роутеров TOTOLINK A800R, TOTOLINK A810R, TOTOLINK A830R, TOTOLINK A950RG, TOTOLINK A3000RU, TOTOLINK A3100R связана с непринятием мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды через параметр NoticeUrl

Вендор

TOTOLink

Наименование ПО

A800R
A950RG
A3000RU
A810R
A3100R
A830R

Версия ПО

4.1.2cu.5137_B20200730 (A800R)
4.1.2cu.5161_B20200903 (A950RG)
5.9c.5185_B20201128 (A3000RU)
4.1.2cu.5182_B20201026 (A810R)
4.1.2cu.5247_B20211129 (A3100R)
4.1.2cu.5182_B20201102 (A830R)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 87%
0.03263
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-28035

CVSS3: 9.8
nvd
10 месяцев назад

TOTOLINK A830R V4.1.2cu.5182_B20201102 was found to contain a pre-auth remote command execution vulnerability in the setNoticeCfg function through the NoticeUrl parameter.

github логотип

GHSA-fg9r-f95c-6rgw

CVSS3: 9.8
github
10 месяцев назад

TOTOLINK A830R V4.1.2cu.5182_B20201102 was found to contain a pre-auth remote command execution vulnerability in the setNoticeCfg function through the NoticeUrl parameter.

fstec логотип

BDU:2025-10701

CVSS3: 9.8
fstec
10 месяцев назад

Уязвимость функции setNoticeCfg микропрограммного обеспечения роутеров TOTOLINK A800R, TOTOLINK A810R, TOTOLINK A830R, TOTOLINK A950RG, TOTOLINK A3000RU, TOTOLINK A3100R, позволяющая нарушителю выполнить произвольные команды

EPSS

Процентиль: 87%
0.03263
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2