一、 漏洞 CVE-2024-0299 基础信息
漏洞标题
Totolink N200RE 设置 cstecgi.cgi 追踪路由 os 命令注入
来源:AIGC 神龙大模型
漏洞描述信息
在Totolink N200RE 9.3.5u.6139_B20201216中发现了一个漏洞。已宣布为关键漏洞。受影响的是文件/cgi-bin/cstecgi.cgi中的SetTracerouteCfg函数。对参数命令的操纵会导致OS命令注入。攻击可以远程发起。漏洞已向 public 公开,可能使用。该漏洞被分配了 identifier VDB-249865。注意: vendor 已早期与我们联系,但未采取任何回应。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:AIGC 神龙大模型
漏洞标题
Totolink N200RE cstecgi.cgi setTracerouteCfg os command injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was found in Totolink N200RE 9.3.5u.6139_B20201216. It has been declared as critical. Affected by this vulnerability is the function setTracerouteCfg of the file /cgi-bin/cstecgi.cgi. The manipulation of the argument command leads to os command injection. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-249865 was assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
TOTOLINK N200RE 操作系统命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
TOTOLINK N200RE是中国吉翁电子(TOTOLINK)公司的一个路由器。 TOTOLINK N200RE 9.3.5u.6139_B20201216 版本存在操作系统命令注入漏洞,该漏洞源于对 /cgi-bin/cstecgi.cgi 页面的 setTracerouteCfg 函数的 command 参数的操作会导致操作系统命令注入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-0299 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-0299 的情报信息