01
漏洞描述
ipTIME是韩国的网络第一品牌,凭借其完善的售后服务体系、优秀的工业设计及强大而稳定的产品性能,自成立以来一直引领韩国网络的发展趋势。自2005年进入中国后,一直致力于研发适合于中国市场的网络产品。相继推出了G100R+、N300R及S104等多款广受好评的有线及无线宽带路由器,满足了不同消费者的需求。为更好服务中国的广大消费者,ipTIME使用熟悉中国网络市场的销售及服务团队,历经5年的磨砺,ipTIME从产品软、硬件等诸多方面都针对中国市场做了细致彻底的改进,为产品的本地化做好了充足的准备。
多款TotoLink产品存在命令注入漏洞,攻击者可利用该漏洞通过精心制作的请求执行任意命令。
02
漏洞危害
Totolink A830R V5.9c.4729_B20191112, A3100R V4.1.2cu.5050_B20200504, A950RG V4.1.2cu.5161_B20200903, A800R V4.1.2cu.5137_B20200730, A3000RU V5.9c.5185_B20201128, and A810R V4.1.2cu.5182_B20201026 were discovered to通过 webWlanIdx 参数在函数 setWebWlanIdx 中包含命令注入漏洞。此漏洞允许攻击者通过精心制作的请求执行任意命令。
03
影响范围
TOTOLINK A3100R V4.1.2cu.5050_B20200504
TOTOLINK A800R V4.1.2cu.5137_B20200730
TOTOLINK A810R V4.1.2cu.5182_B20201026
TOTOLINK A830R V5.9c.4729_B20191112
TOTOLINK A950RG v4.1.2cu.5161_B20200903
TOTOLINK A3000RU v5.9c.5185_B20201128
04
漏洞等级
高危
06
修复方案
厂商已发布了漏洞修复程序,请及时关注更新:
https://github.com/pjqwudi1/my_vuln/blob/main/totolink/vuln_22/22.md
END
长按识别二维码,了解更多
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论