Vulnerabilidad en TOTOLINK A800R (CVE-2025-28034)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
22/04/2025
Última modificación:
29/04/2025
Descripción
Se descubrió que TOTOLINK A800R V4.1.2cu.5137_B20200730, A810R V4.1.2cu.5182_B20201026, A830R V4.1.2cu.5182_B20201102, A950RG V4.1.2cu.5161_B20200903, A3000RU V5.9c.5185_B20201128 y A3100R V4.1.2cu.5247_B20211129 contenían una vulnerabilidad de ejecución remota de comandos previa a la autorización en la función NTPSyncWithHost a través del parámetro hostTime.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:totolink:a800r_firmware:4.1.2cu.5137_b20200730:*:*:*:*:*:*:* | ||
| cpe:2.3:h:totolink:a800r:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:totolink:a810r_firmware:4.1.2cu.5182_b20201026:*:*:*:*:*:*:* | ||
| cpe:2.3:h:totolink:a810r:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:totolink:a830r_firmware:4.1.2cu.5182_b20201102:*:*:*:*:*:*:* | ||
| cpe:2.3:h:totolink:a830r:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:totolink:a950rg_firmware:4.1.2cu.5161_b20200903:*:*:*:*:*:*:* | ||
| cpe:2.3:h:totolink:a950rg:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:totolink:a3000ru_firmware:5.9c.5185_b20201128:*:*:*:*:*:*:* | ||
| cpe:2.3:h:totolink:a3000ru:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:totolink:a3100r_firmware:4.1.2cu.5247_b20211129:*:*:*:*:*:*:* | ||
| cpe:2.3:h:totolink:a3100r:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página