Injeção de comando no parâmetro cstecgi.cgi setSmartQosCfg no Totolink A3300R

Foi descoberta uma falha de segurança no Totolink A3300R 17.0.0cu.557_b20221024. Esta vulnerabilidade afeta a função setSmartQosCfg do ficheiro /cgi-bin/cstecgi.cgi do componente Parameter Handler (Manipulador de Parâmetros). A manipulação do argumento qos_up_bw resulta numa injeção de comando (command injection). O ataque pode ser executado remotamente. O exploit foi divulgado publicamente e pode ser usado para ataques.