一、 漏洞 CVE-2024-2353 基础信息
漏洞标题
Totolink X6000R 的 httpd 服务使用 cstecgi.cgi 设置诊断配置,发生了操作系统命令注入。
来源:AIGC 神龙大模型
漏洞描述信息
在Totolink X6000R 9.4.0cu.852_20230719组件中的/cgi-bin/cstecgi.cgi文件中,发现了一个被分类为严重级别的漏洞。该问题影响了函数setDiagnosisCfg,其中参数ip的处理导致了os命令注入。攻击可能由远程发起。漏洞已公开披露,并可能被利用。此漏洞的标识符为VDB-256313。注意:关于此次披露,我们很早就联系了供应商,但他们没有以任何方式回应。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:AIGC 神龙大模型
漏洞标题
Totolink X6000R shttpd cstecgi.cgi setDiagnosisCfg os command injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability, which was classified as critical, has been found in Totolink X6000R 9.4.0cu.852_20230719. This issue affects the function setDiagnosisCfg of the file /cgi-bin/cstecgi.cgi of the component shttpd. The manipulation of the argument ip leads to os command injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The identifier VDB-256313 was assigned to this vulnerability. NOTE: The vendor was contacted early about this disclosure but did not respond in any way.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
TOTOLINK X6000R 操作系统命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
TOTOLINK X6000R是中国吉翁电子(TOTOLINK)公司的一款无线路由器。 TOTOLINK X6000R 9.4.0cu.852_20230719版本存在操作系统命令注入漏洞,该漏洞源于组件 shttpd 中的 /cgi-bin/cstecgi.cgi 中的 setDiagnosisCfg 函数存在安全问题,通过对参数 ip 导致操作系统命令注入。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-2353 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-2353 的情报信息