Krytyczna luka w Totolink A7100RU umożliwiająca zdalne wykonanie poleceń

Wysokie ryzyko zdalnego wykonania poleceń w Totolink A7100RU przez lukę w funkcji setWiFiEasyCfg. Zalecane szybkie aktualizacje i ograniczenia dostępu.
CVE-2026-5854CVSS 8.9General

Krytyczna luka w Totolink A7100RU umożliwiająca zdalne wykonanie poleceń

Wysokie ryzyko zdalnego wykonania poleceń w Totolink A7100RU przez lukę w funkcji setWiFiEasyCfg. Zalecane szybkie aktualizacje i ograniczenia dostępu.

CVSS
8.9 HIGH
EPSS
96.77%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wykryto poważną lukę w oprogramowaniu Totolink A7100RU 7.4cu.2313_b20191024, dotyczącą funkcji setWiFiEasyCfg w pliku /cgi-bin/cstecgi.cgi. Luka pozwala na zdalne wstrzyknięcie poleceń systemowych poprzez manipulację argumentem merge.

Wpływ biznesowy

Luka o wysokim poziomie zagrożenia (CVSS 8.9) umożliwia atakującemu zdalne wykonanie poleceń na urządzeniu, co może prowadzić do przejęcia kontroli nad routerem i naruszenia bezpieczeństwa sieci. Operatorzy IT powinni traktować tę podatność priorytetowo, zwłaszcza w środowiskach zdalnych i publicznych.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji oprogramowania od producenta Totolink oraz ich wdrożenie. W międzyczasie ograniczyć dostęp do interfejsu CGI tylko do zaufanych sieci, monitorować logi urządzenia pod kątem podejrzanej aktywności oraz rozważyć segmentację sieci w celu ograniczenia potencjalnego wpływu ataku.

Źródła