TOTOLink A3100R命令注入漏洞

TOTOLink A3100R命令注入漏洞

Totolink A3100R是中国Totolink公司的一系列无线路由器。

一、漏洞分析

 公开日期：2022-03-06

 漏洞编号：CNVD-2022-17024/CVE-2022-25077

 危害等级：高危

 漏洞描述：TOTOLink A3100R V4.1.2cu.5050_B20200504版本存在命令注入漏洞，该漏洞源于在Main函数中QUERY_STRING 参数未能正确过滤特殊字符、命令等。攻击者可利用此漏洞执行任意命令。

二、漏洞影响产品

TOTOLINK A3100R V4.1.2cu.5050_B20200504

三、漏洞处置建议

厂商已发布了漏洞修复程序，请及时关注更新：

https://github.com/EPhaha/IOT_vuln/blob/main/TOTOLink/A3100R/README.md