Jeremy Laidman

**Nome do software vulnerável e versões afetadas** D-Link DCH-M225, versões 1.05b01 e anteriores **Descrição** O problema está relacionado à falta de sanitização adequada de elementos especiais usados no comando do sistema operacional ao processar o parâmetro `media renderer` na string de nome. Isso permite que administradores autenticados remotamente executem comandos arbitrários do sistema operacional por meio de metacaracteres do shell no nome do media renderer. A exploração dessa vulnerabilidade pode permitir que um invasor remoto execute comandos arbitrários. **Recomendações** Para as versões 1.05b01 e anteriores do D-Link DCH-M225, como solução temporária, considere restringir o acesso ao parâmetro do nome do media renderer para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** D-Link DCH-M225, versões 1.05b01 e anteriores **Descrição** O problema está relacionado ao script spotifyConnect.php no dispositivo D-Link DCH-M225, onde ele não consegue neutralizar elementos especiais usados em um comando do sistema operacional ao processar o parâmetro `userName`. Isso permite que invasores remotos executem comandos arbitrários do sistema operacional por meio de metacaracteres do shell. A exploração da vulnerabilidade pode permitir que um invasor remoto execute comandos arbitrários enviando solicitações HTTP especialmente criadas. **Recomendações** Para as versões 1.05b01 e anteriores do D-Link DCH-M225, como solução temporária, considere restringir o acesso ao script spotifyConnect.php até que um patch esteja disponível. Evite usar o parâmetro `userName` no script afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.