BDU:2025-12690

Опубликовано: 06 апр. 2025

Источник: fstec

CVSS3: 8

CVSS2: 7.7

EPSS Низкий

Описание

Уязвимость интерфейса formIpv6Setup файла /bin/boa микропрограммного обеспечения роутера Totolink A3002R связана с копированием буфера без проверки размера входных данных при обработке параметра pppoe_dns1. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

TOTOLink

Наименование ПО

A3002R

Версия ПО

1.1.1-B20200824.0128 (A3002R)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,7)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- использование средств межсетевого экранирования для ограничения возможности удалённого доступа к устройству;

- ограничение доступа к устройству из внешних сетей (Интернет);

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

https://github.com/SunnyYANGyaya/cuicuishark-sheep-fishIOT/blob/main/ToTolink/TOTOLINK-A3002R-formIpv6Setup-pppoe_dns1.md

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-25635
CVE

EPSS

Процентиль: 17%

0.00053

Низкий

8 High

CVSS3

7.7 High

CVSS2

Связанные уязвимости

CVE-2025-25635

CVSS3: 8

nvd

11 месяцев назад

TOTOlink A3002R V1.1.1-B20200824.0128 contains a buffer overflow vulnerability. The vulnerability arises from the improper input validation of the pppoe_dns1 parameter in the formIpv6Setup interface of /bin/boa.

GHSA-4fpf-m9cc-vw8p

CVSS3: 8

github

11 месяцев назад

EPSS

Процентиль: 17%

0.00053

Низкий

8 High

CVSS3

7.7 High

CVSS2