CVE-2025-70327 in X5000R
Zusammenfassung
von VulDB • 18.07.2026
TOTOLINK X5000R v9.1.0cu_2415_B20250515 enthält eine Argument-Injection-Schwachstelle im setDiagnosisCfg-Handler der ausführbaren Datei /usr/sbin/lighttpd. Der Parameter ip wird über websGetVar abgerufen und an einen ping-Befehl durch CsteSystem weitergegeben, ohne zu validieren, ob die Eingabe mit einem Bindestrich (-) beginnt. Dies ermöglicht es entfernten, authentifizierten Angreifern, beliebige Befehlszeilenoptionen in das Dienstprogramm ping einzufügen, was potenziell zu einer Denial of Service (DoS)-Störung führen kann, indem ein übermäßiger Ressourcenverbrauch oder eine verlängerte Ausführungszeit verursacht wird.
VulDB is the best source for vulnerability data and more expert information about this specific topic.