We use these services and cookies to improve your user experience. You may opt out if you wish, however, this may limit some features on this site.

Please see our statement on Data Privacy.

Crisp.chat (Helpdesk and Chat)

Ok

THREATINT
PUBLISHED

CVE-2024-10654

TOTOLINK LR350 formLoginAuth.htm authorization



Description

EN DE

A vulnerability has been found in TOTOLINK LR350 up to 9.3.5u.6369 and classified as critical. Affected by this vulnerability is an unknown functionality of the file /formLoginAuth.htm. The manipulation of the argument authCode with the input 1 leads to authorization bypass. The attack can be launched remotely. The exploit has been disclosed to the public and may be used. Upgrading to version 9.3.5u.6698_B20230810 is able to address this issue. It is recommended to upgrade the affected component.

In TOTOLINK LR350 bis 9.3.5u.6369 wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Betroffen ist eine unbekannte Verarbeitung der Datei /formLoginAuth.htm. Dank der Manipulation des Arguments authCode mit der Eingabe 1 mit unbekannten Daten kann eine authorization bypass-Schwachstelle ausgenutzt werden. Der Angriff kann über das Netzwerk passieren. Der Exploit steht zur öffentlichen Verfügung. Ein Aktualisieren auf die Version 9.3.5u.6698_B20230810 vermag dieses Problem zu lösen. Als bestmögliche Massnahme wird das Einspielen eines Upgrades empfohlen.

Reserved 2024-11-01 | Published 2024-11-01 | Updated 2024-11-05 | Assigner VulDB


MEDIUM: 6.9CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
MEDIUM: 5.3CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
MEDIUM: 5.3CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
5.0AV:N/AC:L/Au:N/C:P/I:N/A:N

Problem types

Authorization Bypass

Improper Authorization

Incorrect Privilege Assignment

Product status

9.3.5u.6369
affected

Timeline

2023-09-07:Countermeasure disclosed
2024-11-01:Advisory disclosed
2024-11-01:VulDB entry created
2024-11-05:VulDB entry last update

Credits

c0nyy (VulDB User) reporter

c0nyy (VulDB User) analyst

References

vuldb.com/?id.282667 (VDB-282667 | TOTOLINK LR350 formLoginAuth.htm authorization) vdb-entry technical-description

vuldb.com/?ctiid.282667 (VDB-282667 | CTI Indicators (IOB, IOC, IOA)) signature permissions-required

vuldb.com/?submit.434801 (Submit #434801 | TOTOLINK LR350 V9.3.5u.6369 Authorization Bypass) third-party-advisory

github.com/c0nyy/IoT_vuln/blob/main/TOTOLINK LR350 Vuln.md exploit

www.totolink.net/...menu_listtpl/download/id/231/ids/36.html patch

www.totolink.net/ product

cve.org (CVE-2024-10654)

nvd.nist.gov (CVE-2024-10654)

Download JSON

Share this page
https://cve.threatint.com/CVE/CVE-2024-10654

Support options

Helpdesk Chat, Email, Knowledgebase
Telegram Chat
Subscribe to our newsletter to learn more about our work.