मुफ्त स्कैन करें
HIGHCVE-2026-5676CVSS 7.3

Totolink A8000R cstecgi.cgi setLanguageCfg में प्रमाणीकरण की कमी

प्लेटफ़ॉर्म

linux

घटक

totolink-a8000r

में ठीक किया गया

5.9.1

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026
NVD पर देखें
सहेजें

Totolink A8000R राउटर में एक प्रमाणीकरण त्रुटि पाई गई है। यह त्रुटि /cgi-bin/cstecgi.cgi फ़ंक्शन setLanguageCfg में मौजूद है, जहाँ langType तर्क का हेरफेर प्रमाणीकरण को बायपास कर सकता है। यह भेद्यता दूर से शोषण योग्य है और सार्वजनिक रूप से उपलब्ध है। प्रभावित संस्करण 5.9c.681B20180413–5.9c.681B20180413 हैं। तत्काल अपडेट की सिफारिश की जाती है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावर को राउटर पर अनधिकृत पहुंच प्राप्त करने की अनुमति देती है, जिससे वे कॉन्फ़िगरेशन बदल सकते हैं, डेटा चुरा सकते हैं या नेटवर्क ट्रैफ़िक को बाधित कर सकते हैं। प्रमाणीकरण की कमी के कारण, हमलावर आसानी से राउटर के प्रशासनिक इंटरफ़ेस तक पहुंच सकते हैं और संवेदनशील जानकारी तक पहुंच प्राप्त कर सकते हैं। चूंकि शोषण सार्वजनिक रूप से उपलब्ध है, इसलिए इस भेद्यता का शोषण होने का जोखिम बहुत अधिक है। यह भेद्यता नेटवर्क में अन्य उपकरणों के लिए भी खतरा पैदा कर सकती है, क्योंकि राउटर का उपयोग अक्सर आंतरिक नेटवर्क के लिए प्रवेश बिंदु के रूप में किया जाता है।

शोषण संदर्भ

यह भेद्यता सार्वजनिक रूप से ज्ञात है और शोषण उपलब्ध है, जिससे इसका शोषण होने की संभावना बढ़ जाती है। CISA ने अभी तक इसे KEV में शामिल नहीं किया है, लेकिन इसकी उच्च CVSS स्कोर और सार्वजनिक शोषण की उपलब्धता के कारण निगरानी की जानी चाहिए। NVD में प्रकाशन तिथि 2026-04-06 है।

कौन जोखिम में हैअनुवाद हो रहा है…

Small and medium-sized businesses (SMBs) and home users relying on the Totolink A8000R router are at significant risk. Shared hosting environments using this router model are particularly vulnerable, as a compromise could impact multiple tenants. Users with default router configurations or those who have not updated their firmware in a long time are also at increased risk.

पहचान के चरणअनुवाद हो रहा है…

• linux / server:

journalctl -u totolink -g 'cstecgi.cgi'

• generic web:

curl -I http://<router_ip>/cgi-bin/cstecgi.cgi?langType=malicious_value

• generic web:

grep -A 10 'langType=' /var/log/apache2/access.log

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.09% (26% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयyes
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L/E:P/RL:W/RC:R7.3HIGHAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityLowसंवेदनशील डेटा उजागर होने का जोखिमIntegrityLowअनधिकृत डेटा संशोधन का जोखिमAvailabilityLowसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
निम्न — कुछ डेटा तक आंशिक पहुंच।
Integrity
निम्न — हमलावर सीमित दायरे में कुछ डेटा बदल सकता है।
Availability
निम्न — आंशिक या रुक-रुक कर सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकtotolink-a8000r
विक्रेताTotolink
प्रभावित श्रेणीमें ठीक किया गया
5.9c.681_B20180413 – 5.9c.681_B201804135.9.1

कमजोरी वर्गीकरण (CWE)

CWE-306CWE-287

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
बिना पैच — प्रकाशन से 48 दिन

शमन और वर्कअराउंड

Totolink ने इस भेद्यता के लिए एक अपडेट जारी किया है। तत्काल राउटर फर्मवेयर को नवीनतम संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो राउटर को अस्थायी रूप से नेटवर्क से डिस्कनेक्ट करें। फ़ायरवॉल नियमों को कॉन्फ़िगर करें ताकि /cgi-bin/cstecgi.cgi तक बाहरी पहुंच को अवरुद्ध किया जा सके। WAF (वेब एप्लिकेशन फ़ायरवॉल) का उपयोग करके प्रमाणीकरण आवश्यकताओं को मजबूत करें। अपडेट के बाद, राउटर को रीबूट करें और जांचें कि फर्मवेयर संस्करण अपडेट हो गया है।

कैसे ठीक करें

Totolink A8000R राउटर के फ़र्मवेयर को एक ठीक किए गए संस्करण में अपडेट करें। नवीनतम फ़र्मवेयर संस्करण और अपडेट निर्देशों के लिए Totolink की आधिकारिक वेबसाइट देखें। यह भेद्यता भाषा कॉन्फ़िगरेशन में प्रमाणीकरण की कमी के कारण रिमोट कोड एग्जीक्यूशन की अनुमति देती है, इसलिए जोखिम को कम करने के लिए अपडेट लागू करना महत्वपूर्ण है।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-5676 — प्रमाणीकरण त्रुटि Totolink A8000R में क्या है?

CVE-2026-5676 Totolink A8000R राउटर में /cgi-bin/cstecgi.cgi फ़ंक्शन में प्रमाणीकरण त्रुटि है, जिससे हमलावर को अनधिकृत पहुंच मिल सकती है।

क्या मैं CVE-2026-5676 से Totolink A8000R में प्रभावित हूं?

यदि आप Totolink A8000R राउटर का उपयोग कर रहे हैं और आपका फर्मवेयर संस्करण 5.9c.681B20180413–5.9c.681B20180413 है, तो आप प्रभावित हैं।

मैं CVE-2026-5676 से Totolink A8000R को कैसे ठीक करूं?

Totolink फर्मवेयर को नवीनतम संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो राउटर को नेटवर्क से डिस्कनेक्ट करें।

क्या CVE-2026-5676 सक्रिय रूप से शोषण किया जा रहा है?

सार्वजनिक रूप से शोषण उपलब्ध होने के कारण, CVE-2026-5676 का सक्रिय रूप से शोषण होने का जोखिम बहुत अधिक है।

मैं CVE-2026-5676 के लिए आधिकारिक Totolink एडवाइजरी कहां पा सकता हूं?

कृपया Totolink की आधिकारिक वेबसाइट पर जाएं या उनके सहायता केंद्र से संपर्क करें।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें