CVE-2025-44655
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 25 - wyżej niż 25% wszystkich znanych CVE
Streszczenie
W routerach TOTOLink A7100RU V7.4, A950RG V5.9 i T10 V5.9 opcja chroot_local_user jest domyślnie włączona w pliku konfiguracyjnym vsftpd.conf. Może to umożliwić nieautoryzowany dostęp do plików systemowych, eskalację uprawnień lub wykorzystanie serwera jako punktu przesiadkowego do ataków na sieć wewnętrzną.
Ocena ryzyka
Organizacja narażona jest na ryzyko przejęcia kontroli nad routerem, co może prowadzić do wycieku danych, eskalacji uprawnień oraz dalszych ataków na wewnętrzną infrastrukturę sieciową.
Rekomendacja
Należy natychmiast wyłączyć opcję chroot_local_user w pliku vsftpd.conf na dotkniętych urządzeniach lub zastosować aktualizację firmware od producenta.
Oryginalny opis (angielski, źródło NVD)
In TOTOLink A7100RU V7.4, A950RG V5.9, and T10 V5.9, the chroot_local_user option is enabled in the vsftpd.conf. This could lead to unauthorized access to system files, privilege escalation, or use of the compromised server as a pivot point for internal network attacks.

