Injeção de comando no parâmetro cstecgi.cgi setVpnPassCfg no Totolink A3300R

Uma vulnerabilidade foi detectada no Totolink A3300R 17.0.0cu.557_b20221024. O elemento afetado é a função setVpnPassCfg do arquivo /cgi-bin/cstecgi.cgi do componente Parameter Handler. Realizar uma manipulação do argumento pptpPassThru resulta em injeção de comando. É possível iniciar o ataque remotamente. O exploit é agora público e pode ser usado.