CVSS: 10.0EPSS: 3%CPEs: 4EXPL: 2CVE-2021-27708
https://notcve.org/view.php?id=CVE-2021-27708
Command Injection in TOTOLINK X5000R router with firmware v9.1.0u.6118_B20201102, and TOTOLINK A720R router with firmware v4.1.5cu.470_B20200911 allows remote attackers to execute arbitrary OS commands by sending a modified HTTP request. This occurs because the function executes glibc's system function with untrusted input. In the function, "command" parameter is directly passed to the attacker, allowing them to control the "command" field to attack the OS. Una inyección de comandos en el enrutador TOTOLINK X5000R con firmware v9.1.0u.6118_B20201102, permite a atacantes remotos ejecutar comandos arbitrarios del Sistema Operativo mediante el envío de una petición HTTP modificada. Esto ocurre porque la función ejecuta la función del sistema de glibc con una entrada que no es confiable. • https://hackmd.io/7FtB06f-SJ-SCfkMYcXYxA https://hackmd.io/mDgIBvoxSPCZrZiZjfQGhw • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 5.5EPSS: 0%CPEs: 2EXPL: 1CVE-2020-27368
https://notcve.org/view.php?id=CVE-2020-27368
Directory Indexing in Login Portal of Login Portal of TOTOLINK-A702R-V1.0.0-B20161227.1023 allows attacker to access /icons/ directories via GET Parameter. Una Indexación de Directorios en el Portal de Inicio de Sesión del Portal de Inicio de Sesión de TOTOLINK-A702R- versión V1.0.0-B20161227.1023, permite a un atacante acceder a directorios /icons/ por medio del parámetro GET • https://github.com/swzhouu/CVE-2020-27368 • CWE-552: Files or Directories Accessible to External Parties •
CVSS: 9.0EPSS: 0%CPEs: 26EXPL: 1CVE-2020-25499
https://notcve.org/view.php?id=CVE-2020-25499
TOTOLINK A3002RU-V2.0.0 B20190814.1034 allows authenticated remote users to modify the system's 'Run Command'. An attacker can use this functionality to execute arbitrary OS commands on the router. TOTOLINK A3002RU-V2.0.0 versión B20190814.1034, permite a usuarios remotos autenticados modificar el "Run Command" del sistema. Un atacante puede usar esta funcionalidad para ejecutar comandos arbitrarios del sistema operativo en el enrutador • https://github.com/kdoos/Vulnerabilities/blob/main/RCE_TOTOLINK-A3002RU-V2 https://www.totolink.net/home/index/newsss/id/196.html • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') CWE-862: Missing Authorization •
CVSS: 7.5EPSS: 0%CPEs: 16EXPL: 1CVE-2015-9550
https://notcve.org/view.php?id=CVE-2015-9550
An issue was discovered on TOTOLINK A850R-V1 through 1.0.1-B20150707.1612 and F1-V2 through 1.1-B20150708.1646 devices. By sending a specific hel,xasf packet to the WAN interface, it is possible to open the web management interface on the WAN interface. Se detectó un problema en los dispositivos TOTOLINK A850R-V1 versiones hasta 1.0.1-B20150707.1612 y F1-V2 versiones hasta 1.1-B20150708.1646. Mediante el envío de un paquete hel,xasf específico hacia la interfaz WAN, es posible abrir la interfaz de administración web sobre la interfaz WAN • https://pierrekim.github.io/blog/2015-07-16-backdoor-and-RCE-found-in-8-TOTOLINK-products.html • CWE-668: Exposure of Resource to Wrong Sphere •
CVSS: 10.0EPSS: 1%CPEs: 16EXPL: 1CVE-2015-9551
https://notcve.org/view.php?id=CVE-2015-9551
An issue was discovered on TOTOLINK A850R-V1 through 1.0.1-B20150707.1612 and F1-V2 through 1.1-B20150708.1646 devices. There is Remote Code Execution in the management interface via the formSysCmd sysCmd parameter. Se detectó un problema en los dispositivos TOTOLINK A850R-V1 versiones hasta 1.0.1-B20150707.1612 y F1-V2 versiones hasta 1.1-B20150708.1646. Se presenta una Ejecución de Código Remota en la interfaz de administración por medio del parámetro formSysCmd sysCmd • https://pierrekim.github.io/blog/2015-07-16-backdoor-and-RCE-found-in-8-TOTOLINK-products.html •