CVE-2025-34319 - TOTOLINK N300RT <= V2.1.8-B20201030.1539 Boa formWsc RCE
概述
CVE-2025-34319是针对TOTOLINK N300RT无线路由器的一个高严重性安全漏洞。
漏洞时间线
- 发布日期:2025年12月3日 下午5:15
- 最后修改日期:2025年12月4日 下午5:15
- 可远程利用:是
- 来源:disclosure@vulncheck.com
描述
TOTOLINK N300RT无线路由器固件在 V3.4.0-B20250430 之前的版本(在 V2.1.8-B20201030.1539 中发现)中,其Boa服务器的formWsc处理功能存在操作系统命令注入漏洞。未经身份验证的攻击者可以通过发送特制的请求,利用targetAPSsid请求参数触发命令执行。
受影响产品
以下产品受CVE-2025-34319漏洞影响。即使cvefeed.io知晓受影响产品的确切版本,下方表格中也未显示该信息。
- 暂无受影响产品记录。
- 受影响的供应商总数:0
- 产品数:0
CVSS 评分
通用漏洞评分系统是用于评估软件和系统漏洞严重程度的标准化框架。我们收集并显示每个CVE来自不同来源的CVSS评分。
| 评分 | 版本 | 严重性 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 9.3 | CVSS 4.0 | CRITICAL | 83251b91-4cc7-4094-a5c7-464a1b83ea10 | |||
| 9.3 | CVSS 4.0 | CRITICAL | disclosure@vulncheck.com |
解决方案
更新固件以修补操作系统命令注入漏洞。
- 将TOTOLINK N300RT固件更新至V3.4.0-B20250430或更高版本。
- 应用供应商补丁以解决Boa命令注入问题。
咨询、解决方案和工具参考
以下是一份精心挑选的外部链接列表,提供与CVE-2025-34319相关的深入信息、实用解决方案和有价值的工具。
| URL | 资源 |
|---|---|
| https://totolink.tw/support_view/N300RT | |
| https://www.totolink.net/home/menu/detail/menu_listtpl/download/id/154/ids/36.html | |
| https://www.vulncheck.com/advisories/totolink-n300rt-boa-formwsc-rce |
CWE - 常见弱点枚举
CVE标识具体的漏洞实例,而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-34319与以下CWE关联:
- CWE-78:操作系统命令中使用的特殊元素的不当中和(“操作系统命令注入”)
常见攻击模式枚举与分类 (CAPEC)
常见攻击模式枚举与分类 (CAPEC) 存储攻击模式,这些模式描述了攻击者利用CVE-2025-34319弱点所采用的常见属性和方法。
- CAPEC-6:参数注入
- CAPEC-15:命令分隔符
- CAPEC-43:利用多层输入解释
- CAPEC-88:操作系统命令注入
- CAPEC-108:通过SQL注入执行命令行
GitHub PoC
我们扫描GitHub仓库以检测新的概念验证漏洞利用。以下列表是在GitHub上发布(按最近更新排序)的公共漏洞利用和概念验证的集合。
- 由于潜在的性能问题,结果限制在前15个仓库。
相关新闻
以下列表提到了CVE-2025-34319漏洞的任何文章中的新闻。
- 由于潜在的性能问题,结果限制在前20篇新闻文章。
历史记录
下表列出了CVE-2025-34319漏洞随时间所做的更改。漏洞历史记录详细信息有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
| 日期 | 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|---|
| 2025年12月3日 | 新CVE接收方:disclosure@vulncheck.com | |||
| 2025年12月3日 | 添加 | 描述 | TOTOLINK N300RT无线路由器固件版本…(完整描述见上) | |
| 2025年12月3日 | 添加 | CVSS V4.0 | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | |
| 2025年12月3日 | 添加 | CWE | CWE-78 | |
| 2025年12月3日 | 添加 | 参考 | https://totolink.tw/support_view/N300RT | |
| 2025年12月3日 | 添加 | 参考 | https://www.totolink.net/home/menu/detail/menu_listtpl/download/id/154/ids/36.html | |
| 2025年12月3日 | 添加 | 参考 | https://www.vulncheck.com/advisories/totolink-n300rt-boa-formwsc-rce |
EPSS 评分历史
EPSS是对未来30天内观察到利用活动的概率的每日估计。下图显示了该漏洞的EPSS评分历史。
- (此处应有图表,但原文未提供具体数据)