免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。
1 TOTOLINK EX1200L setOpModeCfg接口命令执行漏洞(CNVD-2025-15342)
一、漏洞描述:
TOTOLINK EX1200L是一款双频无线信号放大器,主要用于扩展家庭或办公环境的Wi-Fi覆盖范围,解决信号弱或死角问题。
TOTOLINK EX1200L存在命令执行漏洞,该漏洞源于cstecgi.cgi的setOpModeCfg接口未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。
二、风险等级:
高
三、影响范围:
TOTOLINK EX1200L V9.3.5u.6146_B20201023
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.totolink.net/
2 TOTOLINK EX1200L NTPSyncWithHost接口命令执行漏洞(CNVD-2025-15341)
一、漏洞描述:
TOTOLINK EX1200L是一款双频无线信号放大器,主要用于扩展家庭或办公环境的Wi-Fi覆盖范围,解决信号弱或死角问题。
TOTOLINK EX1200L存在命令执行漏洞,该漏洞源于cstecgi.cgi的NTPSyncWithHost接口未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。
二、风险等级:
高
三、影响范围:
TOTOLINK EX1200L V9.3.5u.6146_B20201023
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.totolink.net/
3 TOTOLINK X2000R命令注入漏洞(CNVD-2025-15327)
一、漏洞描述:
TOTOLINK X2000R是中国吉翁电子推出的WiFi 6路由器,支持Easy Mesh功能,提供千兆网络连接和VPN服务。
TOTOLINK X2000R存在命令注入漏洞,该漏洞源于在/bin/boa的sub_449040未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞导致任意命令执行。
二、风险等级:
高
三、影响范围:
TOTOLINK X2000R X2000R_V2 2.0.0-B20230727.10434
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.totolink.net/
4 GNU libcdio缓冲区溢出漏洞(CNVD-2025-15360)
一、漏洞描述:
GNU libcdio是GNU项目开发的用于访问CD-ROM和CD镜像的函数库,主要用于处理光盘文件系统的读取、目录结构解析等功能。
GNU libcdio存在缓冲区溢出漏洞,攻击者可利用该漏洞通过精心设计的ISO 9660镜像文件执行任意代码。
二、风险等级:
高
三、影响范围:
Gnu GNU libcdio v2.1.0
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://git.savannah.gnu.org/cgi ... 0/iso9660_fs.c#n814
5 Schneider Electric EVLink WallBox路径遍历漏洞(CNVD-2025-15348)
一、漏洞描述:
Schneider Electric EVLink WallBox是法国施耐德电气(Schneider Electric)公司的一款家用充电站。
Schneider Electric EVLink WallBox存在路径遍历漏洞,该漏洞源于路径名限制不当,攻击者可利用该漏洞导致任意文件写入。
二、风险等级:
高
三、影响范围:
Schneider Electric EVLink WallBox
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.se.com/ww/en/work/su ... y-notifications.jsp
6 TOTOLINK X6000R sub_4117F8函数代码执行漏洞(CNVD-2025-15333)
一、漏洞描述:
TOTOLINK X6000R是中国吉翁电子(TOTOLINK)公司的一款无线路由器。
TOTOLINK X6000R存在代码执行漏洞,该漏洞源于应用未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞通过sub_4117F8函数中的lang参数运行任意命令。
二、风险等级:
高
三、影响范围:
TOTOLINK X6000R 9.4.0cu.852_B20230719
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.totolink.net/
7 QNAP Qsync Central SQL注入漏洞(CNVD-2025-15368)
一、漏洞描述:
QNAP Qsync Central是中国台湾威联通科技(QNAP)公司的一个NAS上基于云的文件同步服务。
QNAP Qsync Central存在SQL注入漏洞,该漏洞源于应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞导致执行未授权代码。
二、风险等级:
高
三、影响范围:
QNAP QNAP Qsync Central <4.5.0.6
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.qnap.com/en/security-advisory/qsa-25-10
8 TOTOLINK X6000R代码执行漏洞(CNVD-2025-15332)
一、漏洞描述:
TOTOLINK X6000R是中国吉翁电子(TOTOLINK)公司的一款无线路由器。
TOTOLINK X6000R存在代码执行漏洞,该漏洞源于应用未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞通过shttpd中的sub_410118函数运行任意代码。
二、风险等级:
高
三、影响范围:
TOTOLINK X6000R 9.4.0cu.852_B20230719
四、修复建议:
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.totolink.net/
|
发表于 2025-7-10 09:33
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡