Вразливість командної ін’єкції в Totolink A8000RU через UploadOpenVpnCert

Критична вразливість CVE-2026-9455 у Totolink A8000RU дозволяє віддалено виконувати команди через веб-інтерфейс. Рекомендується перевірити оновлення та посилити безпеку.
CVE-2026-9455CVSS 8.9VPN

Вразливість командної ін’єкції в Totolink A8000RU через UploadOpenVpnCert

Критична вразливість CVE-2026-9455 у Totolink A8000RU дозволяє віддалено виконувати команди через веб-інтерфейс. Рекомендується перевірити оновлення та посилити безпеку.

CVSS
8.9 HIGH
EPSS
77.28%
Активно використовується
немає в KEV
Продукт
-

Що відомо

Виявлено критичну вразливість в Totolink A8000RU (версія 7.1cu.643_b20200521), що дозволяє віддалено виконувати команди ОС через функцію UploadOpenVpnCert веб-інтерфейсу. Уразливість пов’язана з недостатньою перевіркою аргументу FileName, що може призвести до компрометації пристрою.

Бізнес-вплив

Ця вразливість може дозволити зловмисникам віддалено виконувати довільні команди на пристрої, що може призвести до повного контролю над мережею VPN, витоку даних або порушення роботи інфраструктури. Власники та оператори мережевого обладнання повинні розглянути ризики, пов’язані з експлуатацією цієї уразливості, особливо в середовищах з високими вимогами до безпеки.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень або патчів від виробника Totolink для моделі A8000RU. Якщо оновлення недоступні, слід обмежити доступ до веб-інтерфейсу управління, провести аудит логів на ознаки експлуатації та посилити моніторинг мережевого трафіку. Важливо також розглянути тимчасове відключення функції UploadOpenVpnCert або застосування додаткових фільтрів введення.

Джерела