Krytyczna luka w Totolink A7100RU umożliwiająca zdalne wykonanie poleceń

Wykryto krytyczną lukę w Totolink A7100RU umożliwiającą zdalne wykonanie poleceń. Sprawdź zalecenia dotyczące zabezpieczenia urządzenia VPN.
CVE-2026-6139CVSS 8.9VPN

Krytyczna luka w Totolink A7100RU umożliwiająca zdalne wykonanie poleceń

Wykryto krytyczną lukę w Totolink A7100RU umożliwiającą zdalne wykonanie poleceń. Sprawdź zalecenia dotyczące zabezpieczenia urządzenia VPN.

CVSS
8.9 HIGH
EPSS
76.16%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W urządzeniach Totolink A7100RU z oprogramowaniem 7.4cu.2313_b20191024 wykryto poważną lukę w funkcji UploadOpenVpnCert, która pozwala na zdalne wstrzyknięcie poleceń systemowych poprzez manipulację argumentem FileName. Luka ta została publicznie ujawniona i może być aktywnie wykorzystywana przez atakujących.

Wpływ biznesowy

Luka o wysokim poziomie zagrożenia (CVSS 8.9) stwarza ryzyko przejęcia kontroli nad urządzeniem VPN, co może prowadzić do nieautoryzowanego dostępu do sieci firmowej oraz potencjalnych wycieków danych. Operatorzy infrastruktury powinni traktować tę podatność jako priorytetową do analizy i zabezpieczenia, aby zapobiec możliwym incydentom bezpieczeństwa.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności oficjalnych aktualizacji oprogramowania od producenta Totolink oraz ich wdrożenie. W międzyczasie warto ograniczyć dostęp do interfejsu CGI z zewnątrz, monitorować logi urządzenia pod kątem podejrzanej aktywności oraz przeprowadzić ocenę ryzyka i priorytetyzację działań zabezpieczających.

Źródła