9.8
CVE-2025-28034
- EPSS 3.25%
- Veröffentlicht 22.04.2025 00:00:00
- Zuletzt bearbeitet 29.04.2025 16:18:58
- Quelle cve@mitre.org
- Teams Watchlist Login
- Unerledigt Login
TOTOLINK A800R V4.1.2cu.5137_B20200730, A810R V4.1.2cu.5182_B20201026, A830R V4.1.2cu.5182_B20201102, A950RG V4.1.2cu.5161_B20200903, A3000RU V5.9c.5185_B20201128, and A3100R V4.1.2cu.5247_B20211129 were found to contain a pre-auth remote command execution vulnerability in the NTPSyncWithHost function through the hostTime parameter.
Verknüpft mit AI von unstrukturierten Daten zu bestehenden CPE der NVD
Diese Information steht angemeldeten Benutzern zur Verfügung. Login
Daten sind bereitgestellt durch National Vulnerability Database (NVD)
Totolink ≫ A800r Firmware Version4.1.2cu.5137_b20200730
Totolink ≫ A810r Firmware Version4.1.2cu.5182_b20201026
Totolink ≫ A830r Firmware Version4.1.2cu.5182_b20201102
Totolink ≫ A950rg Firmware Version4.1.2cu.5161_b20200903
Totolink ≫ A3000ru Firmware Version5.9c.5185_b20201128
Totolink ≫ A3100r Firmware Version4.1.2cu.5247_b20211129
Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.
| Typ | Quelle | Score | Percentile |
|---|---|---|---|
| EPSS | FIRST.org | 3.25% | 0.866 |
| Quelle | Base Score | Exploit Score | Impact Score | Vector String |
|---|---|---|---|---|
| 134c704f-9b21-4f2e-91b3-4a467353bcc0 | 9.8 | 3.9 | 5.9 |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
|
CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
The product constructs all or part of an OS command using externally-influenced input from an upstream component, but it does not neutralize or incorrectly neutralizes special elements that could modify the intended OS command when it is sent to a downstream component.