Trois failles critiques sur le routeur TOTOLINK X6000R corrigées (CVE-2025-52905/06/07)
Source: Unit 42 (Palo Alto Networks). Les chercheurs décrivent trois vulnérabilités critiques dans le firmware du routeur TOTOLINK X6000R (V9.4.0cu.1360B20241207) permettant à des attaquants non authentifiés d’exécuter des commandes (jusqu’aux privilèges root), d’intercepter le trafic et de manipuler des fichiers système critiques. TOTOLINK a publié un correctif dans le firmware V9.4.0cu.1498B20250826. Les failles résident dans l’endpoint central du panneau web, /cgi-bin/cstecgi.cgi. • CVE-2025-52905: injection d’arguments due à une liste de blocage incomplète qui ne filtre pas le caractère tiret (-). • CVE-2025-52906: injection de commandes non authentifiée dans la fonction setEasyMeshAgentCfg via le paramètre agentName, permettant l’exécution de commandes avec les privilèges du serveur web. • CVE-2025-52907: contournement de sécurité affectant plusieurs composants, dont setWizardCfg, autorisant des écritures arbitraires de fichiers en contournant les contrôles de validation. ...