Vulnerabilities ›

CVE-2026-9514

Medium

CWE-77 — Weakness Type

                    Published: May 25, 2026                      ·  Modified: May 28, 2026                      ·  Source: NVD                

CVSS v3

6.3

🔗 NVD Official

📄 Description (English)

A security vulnerability has been detected in Totolink CA750-PoE 6.2c.510. Impacted is the function setNetworkDiag of the file /cgi-bin/cstecgi.cgi of the component Setting Handler. The manipulation of the argument NetDiagHost/NetDiagPingNum/NetDiagPingSize/NetDiagPingTimeOut/NetDiagTracertHop is directly passed by the attacker/so we can control the NetDiagHost/NetDiagPingNum/NetDiagPingSize/NetDiagPingTimeOut/NetDiagTracertHop leads to os command injection. The attack may be initiated remotely. The exploit has been disclosed publicly and may be used.

🤖 AI Executive Summary

Totolink CA750-PoE firmware 6.2c.510 contains an OS command injection vulnerability in the network diagnostics function that allows remote attackers to execute arbitrary commands through unsanitized parameters. The vulnerability affects the setNetworkDiag handler in /cgi-bin/cstecgi.cgi and has been publicly disclosed.

📄 Description (Arabic)

ثغرة حقن أوامر نظام التشغيل في جهاز Totolik CA750-PoE تسمح للمهاجمين بتمرير معاملات غير معالجة مباشرة إلى أوامر النظام. يمكن استغلال المعاملات NetDiagHost و NetDiagPingNum و NetDiagPingSize و NetDiagPingTimeOut و NetDiagTracertHop لتنفيذ أوامر عشوائية على الجهاز.

🤖 ملخص تنفيذي (AI)

جهاز Totolik CA750-PoE الإصدار 6.2c.510 يحتوي على ثغرة حقن أوامر نظام التشغيل في وظيفة التشخيص التي تسمح للمهاجمين بتنفيذ أوامر عشوائية عن بعد. تم الكشف عن الثغرة علناً وقد تُستخدم في هجمات نشطة.

🤖 AI Intelligence Analysis Analyzed: May 27, 2026 11:07

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

telecom banking government energy

🎯 MITRE ATT&CK Techniques

T1059.004 T1190 T1133

⚖️ Saudi Risk Score (AI)

7.0

/ 10.0

🔧 Remediation Steps (English)

Immediately upgrade Totolik CA750-PoE devices to firmware version 6.2c.511 or later. If immediate patching is not possible, restrict access to the /cgi-bin/cstecgi.cgi endpoint using firewall rules and disable remote management features. Implement input validation and sanitization for all network diagnostic parameters.

🔧 خطوات المعالجة (العربية)

قم بترقية أجهزة Totolik CA750-PoE إلى الإصدار 6.2c.511 أو أحدث فوراً. إذا لم يكن الترقية ممكنة، قيد الوصول إلى نقطة النهاية باستخدام قواعد جدار الحماية وعطل ميزات الإدارة البعيدة. طبق التحقق من صحة المدخلات وتنظيفها لجميع معاملات التشخيص.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.13.1.1 A.14.2.1

🔵 SAMA CSF

ID.RA-1 PR.IP-1 PR.IP-2

🟡 ISO 27001:2022

27001:A.12.6.1 27001:A.14.2.1

🔗 References & Sources 5

🔗

https://github.com/wudipjq/my_vuln/blob/main/totolink4/vuln_52/52.md

cna@vuldb.com

🔗

https://vuldb.com/submit/813926

cna@vuldb.com

🔗

https://vuldb.com/vuln/365514

cna@vuldb.com

🔗

https://vuldb.com/vuln/365514/cti

cna@vuldb.com

🔗

https://www.totolink.net/

cna@vuldb.com

📊 CVSS Score

6.3

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityL — Low / Local

📋 Quick Facts

Severity Medium

CVSS Score6.3

CWECWE-77

EPSS2.95%

Exploit No

Patch ✗ No

Published 2026-05-25

Source Feed nvd

🇸🇦 Saudi Risk Score

7.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-77

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-9514

Introduce Yourself

Sign In Required