CVSS: 9.3EPSS: 3%CPEs: 2EXPL: 1CVE-2021-43664
https://notcve.org/view.php?id=CVE-2021-43664
30 Mar 2022 — totolink EX300_v2 V4.0.3c.140_B20210429 was discovered to contain a command injection vulnerability via the component process forceugpo. Se ha detectado que totolink EX300_v2 versión V4.0.3c.140_B20210429, contiene una vulnerabilidad de inyección de comandos por medio del componente process forceugpo • https://github.com/chibataiki/iot-vuls/blob/main/totolink/command-injection2.md • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 1CVE-2021-46006
https://notcve.org/view.php?id=CVE-2021-46006
30 Mar 2022 — In Totolink A3100R V5.9c.4577, "test.asp" contains an API-like function, which is not authenticated. Using this function, an attacker can configure multiple settings without authentication. En Totolink A3100R versión V5.9c.4577, "test.asp" contiene una función tipo API, que no está autenticada. Usando esta función, un atacante puede configurar múltiples ajustes sin autenticación • http://a3100r.com • CWE-306: Missing Authentication for Critical Function •
CVSS: 8.8EPSS: 0%CPEs: 4EXPL: 1CVE-2022-25008
https://notcve.org/view.php?id=CVE-2022-25008
30 Mar 2022 — totolink EX300_v2 V4.0.3c.140_B20210429 and EX1200T V4.1.2cu.5230_B20210706 does not contain an authentication mechanism. Totolink EX300_v2 versión V4.0.3c.140_B20210429 y EX1200T versión V4.1.2cu.5230_B20210706, no contienen un mecanismo de autenticación • https://github.com/chibataiki/iot-vuls/blob/main/totolink/missing-authentication.md • CWE-306: Missing Authentication for Critical Function •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 1CVE-2021-46008
https://notcve.org/view.php?id=CVE-2021-46008
30 Mar 2022 — In totolink a3100r V5.9c.4577, the hard-coded telnet password can be discovered from official released firmware. An attacker, who has connected to the Wi-Fi, can easily telnet into the target with root shell if the telnet is function turned on. En totolink a3100r versión V5.9c.4577, la contraseña de telnet embebida puede ser detectada desde el firmware oficial liberado. Un atacante, que ha sido conectado a Wi-Fi, puede fácilmente telnet en el objetivo con la shell root si el telnet es la función habilitada • http://a3100r.com • CWE-798: Use of Hard-coded Credentials •
CVSS: 10.0EPSS: 0%CPEs: 2EXPL: 1CVE-2021-46009
https://notcve.org/view.php?id=CVE-2021-46009
30 Mar 2022 — In Totolink A3100R V5.9c.4577, multiple pages can be read by curl or Burp Suite without authentication. Additionally, admin configurations can be set without cookies. En Totolink A3100R Versión 5.9c.4577, varias páginas pueden ser leídas por curl o Burp Suite sin autenticación. Además, pueden establecerse configuraciones de administración sin cookies • http://a3100r.com • CWE-306: Missing Authentication for Critical Function •
CVSS: 10.0EPSS: 2%CPEs: 2EXPL: 1CVE-2021-46007
https://notcve.org/view.php?id=CVE-2021-46007
30 Mar 2022 — totolink a3100r V5.9c.4577 is vulnerable to os command injection. The backend of a page is executing the "ping" command, and the input field does not adequately filter special symbols. This can lead to command injection attacks. totolink a3100r versión V5.9c.4577, es vulnerable a una inyección de comandos del sistema operativo. El backend de una página está ejecutando el comando "ping", y el campo de entrada no filtra apropiadamente los símbolos especiales. Esto puede conllevar a ataques de inyección de com... • http://a3100r.com • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 1CVE-2021-46010
https://notcve.org/view.php?id=CVE-2021-46010
30 Mar 2022 — Totolink A3100R V5.9c.4577 suffers from Use of Insufficiently Random Values via the web configuration. The SESSION_ID is predictable. An attacker can hijack a valid session and conduct further malicious operations. Totolink A3100R versión V5.9c.4577, sufre de Uso de Valores Insuficientemente Aleatorios por medio de la configuración web. El SESSION_ID es predecible. • http://a3100r.com • CWE-330: Use of Insufficiently Random Values •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 0CVE-2021-43636
https://notcve.org/view.php?id=CVE-2021-43636
25 Mar 2022 — Two Buffer Overflow vulnerabilities exists in T10 V2_Firmware V4.1.8cu.5207_B20210320 in the http_request_parse function when processing host data in the HTTP request process. Se presentan dos vulnerabilidades de desbordamiento del búfer en T10 V2_Firmware versión V4.1.8cu.5207_B20210320, en la función http_request_parse cuando son procesados datos del host en el proceso de petición HTTP • https://note.youdao.com/s/918vCBNT • CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') •
CVSS: 9.8EPSS: 19%CPEs: 2EXPL: 1CVE-2022-26189
https://notcve.org/view.php?id=CVE-2022-26189
22 Mar 2022 — TOTOLINK N600R V4.3.0cu.7570_B20200620 was discovered to contain a command injection vulnerability via the langType parameter in the login interface. Se ha detectado que TOTOLINK N600R versión V4.3.0cu.7570_B20200620, contiene una vulnerabilidad de inyección de comandos por medio del parámetro langType en la interfaz de inicio de sesión • https://doudoudedi.github.io/2022/02/21/TOTOLINK-N600R-Command-Injection • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 9.8EPSS: 19%CPEs: 2EXPL: 1CVE-2022-26188
https://notcve.org/view.php?id=CVE-2022-26188
22 Mar 2022 — TOTOLINK N600R V4.3.0cu.7570_B20200620 was discovered to contain a command injection vulnerability via /setting/NTPSyncWithHost. Se ha detectado que TOTOLINK N600R versión V4.3.0cu.7570_B20200620, contiene una vulnerabilidad de inyección de comandos por medio de /setting/NTPSyncWithHost • https://doudoudedi.github.io/2022/02/21/TOTOLINK-N600R-Command-Injection • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •