CVSS: 6.5EPSS: 0%CPEs: 2EXPL: 1CVE-2021-46006
https://notcve.org/view.php?id=CVE-2021-46006
In Totolink A3100R V5.9c.4577, "test.asp" contains an API-like function, which is not authenticated. Using this function, an attacker can configure multiple settings without authentication. En Totolink A3100R versión V5.9c.4577, "test.asp" contiene una función tipo API, que no está autenticada. Usando esta función, un atacante puede configurar múltiples ajustes sin autenticación • http://a3100r.com http://totolink.com https://hackmd.io/vS-OfUEzSqqKh8e1PKce5A • CWE-306: Missing Authentication for Critical Function •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 1CVE-2021-46008
https://notcve.org/view.php?id=CVE-2021-46008
In totolink a3100r V5.9c.4577, the hard-coded telnet password can be discovered from official released firmware. An attacker, who has connected to the Wi-Fi, can easily telnet into the target with root shell if the telnet is function turned on. En totolink a3100r versión V5.9c.4577, la contraseña de telnet embebida puede ser detectada desde el firmware oficial liberado. Un atacante, que ha sido conectado a Wi-Fi, puede fácilmente telnet en el objetivo con la shell root si el telnet es la función habilitada • http://a3100r.com http://totolink.com https://hackmd.io/ZkeEB-VvRiWBS53rFKG8DQ • CWE-798: Use of Hard-coded Credentials •
CVSS: 10.0EPSS: 0%CPEs: 2EXPL: 1CVE-2021-46009
https://notcve.org/view.php?id=CVE-2021-46009
In Totolink A3100R V5.9c.4577, multiple pages can be read by curl or Burp Suite without authentication. Additionally, admin configurations can be set without cookies. En Totolink A3100R Versión 5.9c.4577, varias páginas pueden ser leídas por curl o Burp Suite sin autenticación. Además, pueden establecerse configuraciones de administración sin cookies • http://a3100r.com http://totolink.com https://hackmd.io/-riYp6Q-ReCx-dKKWFBTLg • CWE-306: Missing Authentication for Critical Function •
CVSS: 8.8EPSS: 0%CPEs: 2EXPL: 1CVE-2021-46010
https://notcve.org/view.php?id=CVE-2021-46010
Totolink A3100R V5.9c.4577 suffers from Use of Insufficiently Random Values via the web configuration. The SESSION_ID is predictable. An attacker can hijack a valid session and conduct further malicious operations. Totolink A3100R versión V5.9c.4577, sufre de Uso de Valores Insuficientemente Aleatorios por medio de la configuración web. El SESSION_ID es predecible. • http://a3100r.com http://totolink.com https://hackmd.io/Ynwm8NnQSiK0xm7QKuNteg • CWE-330: Use of Insufficiently Random Values •