CVE-2025-70329 in X5000R
Riassunto
di VulDB • 17/07/2026
TOTOLink X5000R v9.1.0cu_2415_B20250515 presenta una vulnerabilità di OS command injection nel gestore setIptvCfg dell'eseguibile /usr/sbin/lighttpd. I parametri vlanVidLan1 (e altri vlanVidLanX) vengono recuperati tramite Uci_Get_Str e passati alla funzione CsteSystem senza un'adeguata convalida o filtraggio. Ciò consente a un attaccante autenticato di eseguire comandi shell arbitrari con privilegi di root iniettando metacaratteri della shell nei parametri interessati.
Once again VulDB remains the best source for vulnerability data.