CVE-2020-25499

Опубликовано: 09 дек. 2020

Источник: nvd

CVSS3: 8.8

CVSS2: 9

EPSS Средний

Описание

TOTOLINK A3002RU-V2.0.0 B20190814.1034 allows authenticated remote users to modify the system's 'Run Command'. An attacker can use this functionality to execute arbitrary OS commands on the router.

Ссылки

https://github.com/kdoos/Vulnerabilities/blob/main/RCE_TOTOLINK-A3002RU-V2
Exploit
Third Party Advisory
https://www.totolink.net/home/index/newsss/id/196.html
Patch
Vendor Advisory
https://github.com/kdoos/Vulnerabilities/blob/main/RCE_TOTOLINK-A3002RU-V2
Exploit
Third Party Advisory
https://www.totolink.net/home/index/newsss/id/196.html
Patch
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:totolink:a3002r_firmware:*:*:*:*:*:*:*:*

Версия до 1.1.1-b20200824.0128 (исключая)

cpe:2.3:h:totolink:a3002r:-:*:*:*:*:*:*:*

Конфигурация 2

Одновременно

cpe:2.3:o:totolink:a3002ru-v1_firmware:*:*:*:*:*:*:*:*

Версия до 3.4.0-b20201030.1754 (исключая)

cpe:2.3:h:totolink:a3002ru-v1:-:*:*:*:*:*:*:*

Конфигурация 3

Одновременно

cpe:2.3:o:totolink:a3002ru-v2_firmware:*:*:*:*:*:*:*:*

Версия до 2.1.1-b20200911.1756 (исключая)

cpe:2.3:h:totolink:a3002ru-v2:-:*:*:*:*:*:*:*

Конфигурация 4

Одновременно

cpe:2.3:o:totolink:a702r-v2_firmware:*:*:*:*:*:*:*:*

Версия до 1.0.0-b20201028.1743 (исключая)

cpe:2.3:h:totolink:a702r-v2:-:*:*:*:*:*:*:*

Конфигурация 5

Одновременно

cpe:2.3:o:totolink:a702r-v3_firmware:*:*:*:*:*:*:*:*

Версия до 1.0.0-b20201103.1713 (исключая)

cpe:2.3:h:totolink:a702r-v3:-:*:*:*:*:*:*:*

Конфигурация 6

Одновременно

cpe:2.3:o:totolink:n100re-v3_firmware:*:*:*:*:*:*:*:*

Версия до 3.4.0-b20201030.0926 (исключая)

cpe:2.3:h:totolink:n100re-v3:-:*:*:*:*:*:*:*

Конфигурация 7

Одновременно

cpe:2.3:o:totolink:n150rt_firmware:*:*:*:*:*:*:*:*

Версия до 3.4.0-b20201030.1142 (исключая)

cpe:2.3:h:totolink:n150rt:-:*:*:*:*:*:*:*

Конфигурация 8

Одновременно

cpe:2.3:o:totolink:n200re-v3_firmware:*:*:*:*:*:*:*:*

Версия до 3.4.0-b20201029.1811 (исключая)

cpe:2.3:h:totolink:n200re-v3:-:*:*:*:*:*:*:*

Конфигурация 9

Одновременно

cpe:2.3:o:totolink:n200re-v4_firmware:*:*:*:*:*:*:*:*

Версия до 4.0.0-b20200805.1507 (исключая)

cpe:2.3:h:totolink:n200re-v4:-:*:*:*:*:*:*:*

Конфигурация 10

Одновременно

cpe:2.3:o:totolink:n210re_firmware:*:*:*:*:*:*:*:*

Версия до 1.0.0-b20201030.2030 (исключая)

cpe:2.3:h:totolink:n210re:-:*:*:*:*:*:*:*

Конфигурация 11

Одновременно

cpe:2.3:o:totolink:n300rh-v3_firmware:*:*:*:*:*:*:*:*

Версия до 3.2.4-b20201029.1838 (исключая)

cpe:2.3:h:totolink:n300rh-v3:-:*:*:*:*:*:*:*

Конфигурация 12

Одновременно

cpe:2.3:o:totolink:n300rt_firmware:*:*:*:*:*:*:*:*

Версия до 3.4.0-b20201026.2033 (исключая)

cpe:2.3:h:totolink:n300rt:-:*:*:*:*:*:*:*

Конфигурация 13

Одновременно

cpe:2.3:o:totolink:n302r_plus_firmware:*:*:*:*:*:*:*:*

Версия до 3.4.0-b20201028.2224 (исключая)

cpe:2.3:h:totolink:n302r_plus:-:*:*:*:*:*:*:*

EPSS

Процентиль: 93%

0.10752

Средний

8.8 High

CVSS3

9 Critical

CVSS2

Дефекты

CWE-78

Связанные уязвимости

GHSA-g4mx-vhr8-g9g7

github

больше 3 лет назад

TOTOLINK A3002RU-V2.0.0 B20190814.1034 allows authenticated remote users to modify the system's 'Run Command'. An attacker can use this functionality to execute arbitrary OS commands on the router.

EPSS

Процентиль: 93%

0.10752

Средний

8.8 High

CVSS3

9 Critical

CVSS2

Дефекты

CWE-78