Totolink

Pesquisadores de segurança identificaram três vulnerabilidades críticas no firmware do roteador TOTOLINK X6000R, versão V9.4.0cu.1360_B20241207, lançado em 28 de março de 2025. Essas falhas permitem que atacantes não autenticados provoquem condições de negação de serviço, corrompam arquivos do sistema e executem comandos arbitrários no dispositivo. As vulnerabilidades são: CVE-2025-52905, que permite injeção de argumentos e negação de serviço; CVE-2025-52906, uma vulnerabilidade crítica de injeção de comandos que possibilita a execução remota de comandos; e CVE-2025-52907, que permite a corrupção de arquivos do sistema devido a uma lista de bloqueio incompleta. Todas as falhas estão relacionadas à interface web do roteador, especificamente no endpoint /cgi-bin/cstecgi.cgi, que não valida adequadamente as entradas. A TOTOLINK já lançou uma atualização de firmware para corrigir essas falhas e recomenda que todos os usuários atualizem imediatamente. Além disso, práticas de segurança adicionais, como a mudança de credenciais padrão e a segmentação de dispositivos IoT, são aconselhadas para mitigar riscos futuros.