Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2019-19824

Опубликовано: 27 янв. 2020
Источник: nvd
CVSS3: 8.8
CVSS2: 9
EPSS Критический

Описание

On certain TOTOLINK Realtek SDK based routers, an authenticated attacker may execute arbitrary OS commands via the sysCmd parameter to the boafrm/formSysCmd URI, even if the GUI (syscmd.htm) is not available. This allows for full control over the device's internals. This affects A3002RU through 2.0.0, A702R through 2.1.3, N301RT through 2.1.6, N302R through 3.4.0, N300RT through 3.4.0, N200RE through 4.0.0, N150RT through 3.4.0, N100RE through 3.4.0, and N302RE 2.0.2.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:totolink:a3002ru_firmware:*:*:*:*:*:*:*:*
Версия до 2.0.0 (включая)
cpe:2.3:h:totolink:a3002ru:-:*:*:*:*:*:*:*
Конфигурация 2

Одновременно

cpe:2.3:o:totolink:a702r_firmware:*:*:*:*:*:*:*:*
Версия до 2.1.3 (включая)
cpe:2.3:h:totolink:a702r:-:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

cpe:2.3:o:totolink:n301rt_firmware:*:*:*:*:*:*:*:*
Версия до 2.1.6 (включая)
cpe:2.3:h:totolink:n301rt:-:*:*:*:*:*:*:*
Конфигурация 4

Одновременно

cpe:2.3:o:totolink:n302r_firmware:*:*:*:*:*:*:*:*
Версия до 3.4.0 (включая)
cpe:2.3:h:totolink:n302r:-:*:*:*:*:*:*:*
Конфигурация 5

Одновременно

cpe:2.3:o:totolink:n300rt_firmware:*:*:*:*:*:*:*:*
Версия до 3.4.0 (включая)
cpe:2.3:h:totolink:n300rt:-:*:*:*:*:*:*:*
Конфигурация 6

Одновременно

cpe:2.3:o:totolink:n200re_firmware:*:*:*:*:*:*:*:*
Версия до 4.0.0 (включая)
cpe:2.3:h:totolink:n200re:-:*:*:*:*:*:*:*
Конфигурация 7

Одновременно

cpe:2.3:o:totolink:n150rt_firmware:*:*:*:*:*:*:*:*
Версия до 3.4.0 (включая)
cpe:2.3:h:totolink:n150rt:-:*:*:*:*:*:*:*
Конфигурация 8

Одновременно

cpe:2.3:o:totolink:n100re_firmware:*:*:*:*:*:*:*:*
Версия до 3.4.0 (включая)
cpe:2.3:h:totolink:n100re:-:*:*:*:*:*:*:*

EPSS

Процентиль: 100%
0.90206
Критический

8.8 High

CVSS3

9 Critical

CVSS2

Дефекты

CWE-78

Связанные уязвимости

github логотип

GHSA-mrf4-89gh-pm62

CVSS3: 8.8
github
больше 3 лет назад

On certain TOTOLINK Realtek SDK based routers, an authenticated attacker may execute arbitrary OS commands via the sysCmd parameter to the boafrm/formSysCmd URI, even if the GUI (syscmd.htm) is not available. This allows for full control over the device's internals. This affects A3002RU through 2.0.0, A702R through 2.1.3, N301RT through 2.1.6, N302R through 3.4.0, N300RT through 3.4.0, N200RE through 4.0.0, N150RT through 3.4.0, and N100RE through 3.4.0.

EPSS

Процентиль: 100%
0.90206
Критический

8.8 High

CVSS3

9 Critical

CVSS2

Дефекты

CWE-78