Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-10704

Опубликовано: 22 апр. 2025
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость функции setDiagnosisCfg микропрограммного обеспечения роутеров TOTOLINK A800R, TOTOLINK A810R, TOTOLINK A830R, TOTOLINK A950RG, TOTOLINK A3000RU, TOTOLINK A3100R связана с непринятием мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды через параметр ipDomain

Вендор

TOTOLink

Наименование ПО

A800R
A950RG
A3000RU
A810R
A3100R
A830R

Версия ПО

4.1.2cu.5137_B20200730 (A800R)
4.1.2cu.5161_B20200903 (A950RG)
5.9c.5185_B20201128 (A3000RU)
4.1.2cu.5182_B20201026 (A810R)
4.1.2cu.5247_B20211129 (A3100R)
4.1.2cu.5182_B20201102 (A830R)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- ограничение доступа к устройству из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 88%
0.03869
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-28037

CVSS3: 9.8
nvd
10 месяцев назад

TOTOLINK A810R V4.1.2cu.5182_B20201026 and A950RG V4.1.2cu.5161_B20200903 were found to contain a pre-auth remote command execution vulnerability in the setDiagnosisCfg function through the ipDomain parameter.

github логотип

GHSA-x7cp-g8mq-6p3p

CVSS3: 9.8
github
10 месяцев назад

TOTOLINK A810R V4.1.2cu.5182_B20201026 and A950RG V4.1.2cu.5161_B20200903 were found to contain a pre-auth remote command execution vulnerability in the setDiagnosisCfg function through the ipDomain parameter.

EPSS

Процентиль: 88%
0.03869
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2