CVE-2025-4825: TOTOLINK A702R/A3002R/A3002RU HTTP POST Request formDMZ buffer overflow
Description
A vulnerability classified as critical was found in TOTOLINK A702R, A3002R and A3002RU 3.0.0-B20230809.1615. This vulnerability affects unknown code of the file /boafrm/formDMZ of the component HTTP POST Request Handler. The manipulation of the argument submit-url leads to buffer overflow. The attack can be initiated remotely. The exploit has been disclosed to the public and may be used. In TOTOLINK A702R, A3002R and A3002RU 3.0.0-B20230809.1615 wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Das betrifft eine unbekannte Funktionalität der Datei /boafrm/formDMZ der Komponente HTTP POST Request Handler. Durch Beeinflussen des Arguments submit-url mit unbekannten Daten kann eine buffer overflow-Schwachstelle ausgenutzt werden. Der Angriff kann über das Netzwerk angegangen werden. Der Exploit steht zur öffentlichen Verfügung.
Classification
CVE ID: CVE-2025-4825
CVSS Base Severity: HIGH
CVSS Base Score: 8.8
CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Affected Products
Vendor: TOTOLINK
Product: A702R, A3002R, A3002RU
Exploit Prediction Scoring System (EPSS)
EPSS Score: 0.14% (probability of being exploited)
EPSS Percentile: 35.8% (scored less or equal to compared to others)
EPSS Date: 2025-06-15 (when was this score calculated)
References
https://nvd.nist.gov/vuln/detail/CVE-2025-4825https://vuldb.com/?id.309286
https://vuldb.com/?ctiid.309286
https://vuldb.com/?submit.574596
https://github.com/CH13hh/tmp_store_cc/blob/main/toto/4.md
https://www.totolink.net/