A security vulnerability has been detected in Totolink WA300 5.2cu.7112_B20190227. This affects the function NTPSyncWithHost of the file /cgi-bin/cstecgi.cgi. Such manipulation of the argument hostTime leads to command injection. The attack can be executed remotely. The exploit has been disclosed publicly and may be used.
CVE-2026-7721 is a command injection vulnerability in Totolink WA300 router firmware version 5.2cu.7112_B20190227 affecting the NTP synchronization function. Remote attackers can execute arbitrary commands by manipulating the hostTime parameter in the /cgi-bin/cstecgi.cgi endpoint.
تؤثر هذه الثغرة على أجهزة توجيه Totolink WA300 التي تعمل بالإصدار 5.2cu.7112_B20190227 وتسمح بحقن الأوامر عن بعد من خلال معامل hostTime في وظيفة مزامنة NTP. تم الكشف عن الاستغلال علناً، مما يزيد من خطر الاستخدام الفعلي للهجمات. الثغرة تتطلب وصول شبكة فقط ولا تتطلب مصادقة.
هذا الثغرة عبارة عن حقن أوامر في جهاز توجيه Totolik WA300 الإصدار 5.2cu.7112_B20190227 يؤثر على وظيفة مزامنة NTP. يمكن للمهاجمين البعيدين تنفيذ أوامر تعسفية من خلال التلاعب بمعامل hostTime في نقطة النهاية /cgi-bin/cstecgi.cgi.
Immediately update Totolink WA300 firmware to the latest patched version beyond 5.2cu.7112_B20190227. If updates are unavailable, disable remote access to the device's web interface, implement network segmentation to restrict access to the router's management interface, and monitor for suspicious NTP-related requests. Consider replacing the device with a supported model receiving active security updates.
قم بتحديث برنامج Totolink WA300 الثابت فوراً إلى أحدث إصدار معدل يتجاوز 5.2cu.7112_B20190227. إذا لم تكن التحديثات متاحة، قم بتعطيل الوصول البعيد إلى واجهة الويب للجهاز، وتطبيق تقسيم الشبكة لتقييد الوصول إلى واجهة إدارة الموجه، ومراقبة الطلبات المريبة المتعلقة بـ NTP. فكر في استبدال الجهاز بنموذج يتلقى تحديثات أمان نشطة.