प्लेटफ़ॉर्म
linux
घटक
totolink-a7100ru
में ठीक किया गया
7.4.1
CVE-2026-5993 Totolink A7100RU राउटर में एक गंभीर कमांड इंजेक्शन भेद्यता है। यह भेद्यता हमलावरों को मनमाना ऑपरेटिंग सिस्टम कमांड निष्पादित करने की अनुमति देती है, जिससे संभावित रूप से सिस्टम पर पूर्ण नियंत्रण प्राप्त हो सकता है। यह भेद्यता Totolink A7100RU के संस्करण 7.4cu.2313b20191024–7.4cu.2313b20191024 को प्रभावित करती है। फिलहाल, इस भेद्यता के लिए कोई आधिकारिक पैच उपलब्ध नहीं है।
Totolink A7100RU राउटर (संस्करण 7.4cu.2313_b20191024) में एक गंभीर भेद्यता की पहचान की गई है, जिसे CVE-2026-5993 के रूप में वर्गीकृत किया गया है। यह भेद्यता ऑपरेटिंग सिस्टम कमांड इंजेक्शन (OS Command Injection) है, जो CGI हैंडलर घटक के /cgi-bin/cstecgi.cgi फ़ाइल में setWiFiGuestCfg फ़ंक्शन में मौजूद है। एक हमलावर wifiOff तर्क में हेरफेर करके इस भेद्यता का फायदा उठा सकता है, जिससे डिवाइस पर मनमाना कमांड निष्पादित किया जा सकता है। CVSS गंभीरता स्कोर 9.8 है, जो एक बेहद उच्च जोखिम को दर्शाता है। एक कार्यात्मक शोषण की सार्वजनिक उपलब्धता स्थिति को और बढ़ा देती है, जिससे हमलों की संभावना बढ़ जाती है।
भेद्यता /cgi-bin/cstecgi.cgi फ़ाइल को लक्षित करने वाले दुर्भावनापूर्ण HTTP अनुरोध के माध्यम से शोषण की जाती है। हमलावर wifiOff तर्क के भीतर ऑपरेटिंग सिस्टम कमांड इंजेक्ट करता है। पर्याप्त इनपुट सत्यापन के अभाव में, ये कमांड सीधे राउटर पर निष्पादित किए जाते हैं। भेद्यता की दूरस्थ प्रकृति का मतलब है कि एक हमलावर जहां भी राउटर स्थित है, वहां नेटवर्क एक्सेस के साथ कहीं से भी इसका फायदा उठा सकता है। एक सार्वजनिक शोषण की उपलब्धता शोषण को बहुत आसान बना देती है, जिससे Totolink A7100RU राउटर हमलावरों के लिए एक आकर्षक लक्ष्य बन जाते हैं।
Small to medium-sized businesses and home users relying on the Totolink A7100RU router are at risk. Shared hosting environments where multiple users share the same router infrastructure are particularly vulnerable, as a compromise of one user could potentially lead to the compromise of others. Legacy configurations with default passwords or outdated security settings exacerbate the risk.
• linux / server:
journalctl -u cstecgi | grep -i "wifiOff"• linux / server:
lsof -i :80 -p $(pidof cstecgi) | grep -i "wifiOff"• generic web:
curl -I http://<router_ip>/cgi-bin/cstecgi.cgi?wifiOff=test | grep -i "wifiOff"disclosure
एक्सप्लॉइट स्थिति
EPSS
1.25% (79% शतमक)
CISA SSVC
CVSS वेक्टर
वर्तमान में, Totolink इस भेद्यता के लिए कोई आधिकारिक फिक्स प्रदान नहीं करता है। सबसे प्रभावी शमन उपाय राउटर के फर्मवेयर को इस त्रुटि को ठीक करने वाले बाद के संस्करण में अपडेट करना है। चूंकि कोई पैच उपलब्ध नहीं है, इसलिए राउटर को सार्वजनिक नेटवर्क से अलग करने, व्यवस्थापन इंटरफ़ेस तक पहुंच को प्रतिबंधित करने और संदिग्ध गतिविधि के लिए नेटवर्क ट्रैफ़िक की सक्रिय रूप से निगरानी करने की दृढ़ता से अनुशंसा की जाती है। डिवाइस को अपडेटेड सुरक्षा समर्थन प्रदान करने वाले मॉडल से बदलने पर विचार करना एक दीर्घकालिक विकल्प है। संभावित भविष्य के अपडेट के बारे में जानकारी के लिए Totolink से सीधे संपर्क करने की सलाह दी जाती है।
Actualice el firmware del dispositivo Totolink A7100RU a una versión corregida por el fabricante. Consulte el sitio web oficial de Totolink para obtener la última versión del firmware y las instrucciones de actualización.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह एक प्रकार की भेद्यता है जो एक हमलावर को डिवाइस के अंतर्निहित ऑपरेटिंग सिस्टम (इस मामले में राउटर) पर मनमाना कमांड निष्पादित करने की अनुमति देती है।
अपने राउटर के फर्मवेयर संस्करण की जांच करें। यदि यह संस्करण 7.4cu.2313_b20191024 चला रहा है, तो यह भेद्य है।
राउटर को सार्वजनिक नेटवर्क से अलग करें और व्यवस्थापन इंटरफ़ेस तक पहुंच को प्रतिबंधित करें।
वर्तमान में कोई समाधान उपलब्ध नहीं है। अपडेट के लिए Totolink से संपर्क करें।
एक समाधान जारी होने तक, खासकर यदि इसमें संवेदनशील जानकारी है, तो इंटरनेट से राउटर को कनेक्ट करने की अनुशंसा नहीं की जाती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।