【漏洞预警】多款TotoLink产品命令注入漏洞 (CVE-2022-26208)

admin 2022年6月30日23:34:40安全漏洞【漏洞预警】多款TotoLink产品命令注入漏洞 (CVE-2022-26208)已关闭评论17 views914字阅读3分2秒阅读模式

 01



漏洞描述





ipTIME是韩国的网络第一品牌,凭借其完善的售后服务体系、优秀的工业设计及强大而稳定的产品性能,自成立以来一直引领韩国网络的发展趋势。自2005年进入中国后,一直致力于研发适合于中国市场的网络产品。相继推出了G100R+、N300R及S104等多款广受好评的有线及无线宽带路由器,满足了不同消费者的需求。为更好服务中国的广大消费者,ipTIME使用熟悉中国网络市场的销售及服务团队,历经5年的磨砺,ipTIME从产品软、硬件等诸多方面都针对中国市场做了细致彻底的改进,为产品的本地化做好了充足的准备。

多款TotoLink产品存在命令注入漏洞,攻击者可利用该漏洞通过精心制作的请求执行任意命令。


 02

漏洞危害



Totolink A830R V5.9c.4729_B20191112, A3100R V4.1.2cu.5050_B20200504, A950RG V4.1.2cu.5161_B20200903, A800R V4.1.2cu.5137_B20200730, A3000RU V5.9c.5185_B20201128, and A810R V4.1.2cu.5182_B20201026 were discovered to通过 webWlanIdx 参数在函数 setWebWlanIdx 中包含命令注入漏洞。此漏洞允许攻击者通过精心制作的请求执行任意命令。

 03

影响范围




TOTOLINK A3100R V4.1.2cu.5050_B20200504

TOTOLINK A800R V4.1.2cu.5137_B20200730

TOTOLINK A810R V4.1.2cu.5182_B20201026

TOTOLINK A830R V5.9c.4729_B20191112

TOTOLINK A950RG v4.1.2cu.5161_B20200903

TOTOLINK A3000RU v5.9c.5185_B20201128

04

漏洞等级

高危

 06

修复方案


厂商已发布了漏洞修复程序,请及时关注更新: 

https://github.com/pjqwudi1/my_vuln/blob/main/totolink/vuln_22/22.md





END

长按识别二维码,了解更多


图片

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月30日23:34:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞预警】多款TotoLink产品命令注入漏洞 (CVE-2022-26208) http://cn-sec.com/archives/1149090.html