Vulnerabilities ›

CVE-2026-7721

Medium

CWE-74 — Weakness Type

                    Published: May 4, 2026                      ·  Modified: May 7, 2026                      ·  Source: NVD                

CVSS v3

6.3

🔗 NVD Official

📄 Description (English)

A security vulnerability has been detected in Totolink WA300 5.2cu.7112_B20190227. This affects the function NTPSyncWithHost of the file /cgi-bin/cstecgi.cgi. Such manipulation of the argument hostTime leads to command injection. The attack can be executed remotely. The exploit has been disclosed publicly and may be used.

🤖 AI Executive Summary

CVE-2026-7721 is a command injection vulnerability in Totolink WA300 router firmware version 5.2cu.7112_B20190227 affecting the NTP synchronization function. Remote attackers can execute arbitrary commands by manipulating the hostTime parameter in the /cgi-bin/cstecgi.cgi endpoint.

📄 Description (Arabic)

تؤثر هذه الثغرة على أجهزة توجيه Totolink WA300 التي تعمل بالإصدار 5.2cu.7112_B20190227 وتسمح بحقن الأوامر عن بعد من خلال معامل hostTime في وظيفة مزامنة NTP. تم الكشف عن الاستغلال علناً، مما يزيد من خطر الاستخدام الفعلي للهجمات. الثغرة تتطلب وصول شبكة فقط ولا تتطلب مصادقة.

🤖 ملخص تنفيذي (AI)

هذا الثغرة عبارة عن حقن أوامر في جهاز توجيه Totolik WA300 الإصدار 5.2cu.7112_B20190227 يؤثر على وظيفة مزامنة NTP. يمكن للمهاجمين البعيدين تنفيذ أوامر تعسفية من خلال التلاعب بمعامل hostTime في نقطة النهاية /cgi-bin/cstecgi.cgi.

🤖 AI Intelligence Analysis Analyzed: May 18, 2026 17:00

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

telecom government banking

🎯 MITRE ATT&CK Techniques

T1190 T1059 T1021

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Immediately update Totolink WA300 firmware to the latest patched version beyond 5.2cu.7112_B20190227. If updates are unavailable, disable remote access to the device's web interface, implement network segmentation to restrict access to the router's management interface, and monitor for suspicious NTP-related requests. Consider replacing the device with a supported model receiving active security updates.

🔧 خطوات المعالجة (العربية)

قم بتحديث برنامج Totolink WA300 الثابت فوراً إلى أحدث إصدار معدل يتجاوز 5.2cu.7112_B20190227. إذا لم تكن التحديثات متاحة، قم بتعطيل الوصول البعيد إلى واجهة الويب للجهاز، وتطبيق تقسيم الشبكة لتقييد الوصول إلى واجهة إدارة الموجه، ومراقبة الطلبات المريبة المتعلقة بـ NTP. فكر في استبدال الجهاز بنموذج يتلقى تحديثات أمان نشطة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

5.1 5.2 5.3

🔵 SAMA CSF

ID.AM-2 PR.DS-1 DE.CM-1

🟡 ISO 27001:2022

A.12.6.1 A.14.2.1 A.14.2.5

🔗 References & Sources 5

🔗

https://lavender-bicycle-a5a.notion.site/TOTOLINK-WA300-NTPSyncWithHost-34553a41781f808...

cna@vuldb.com

🔗

https://vuldb.com/submit/807199

cna@vuldb.com

🔗

https://vuldb.com/vuln/360897

cna@vuldb.com

🔗

https://vuldb.com/vuln/360897/cti

cna@vuldb.com

🔗

https://www.totolink.net/

cna@vuldb.com

📊 CVSS Score

6.3

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 Quick Facts

Severity Medium

CVSS Score6.3

CWECWE-74

EPSS4.84%

Exploit No

Patch ✗ No

Published 2026-05-04

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-74

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-7721

Introduce Yourself

Sign In Required