Shiny

**Nome do Software Vulnerável e Versões Afetadas** Tenda AC9 versão 15.03.05.14 Tenda AC9 versão 15.03.05.18 Tenda AC15 versão 15.03.05.14 Tenda AC15 versão 15.03.05.18 **Descrição** Existe uma vulnerabilidade nos dispositivos Tenda AC9 e AC15. A vulnerabilidade afeta a função `formexeCommand` no arquivo `/goform/exeCommand`. A manipulação do argumento `cmdinput` pode resultar em um estouro de buffer, permitindo exploração remota. **Recomendações** Tenda AC9 versão 15.03.05.14: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Tenda AC9 versão 15.03.05.18: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Tenda AC15 versão 15.03.05.14: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Tenda AC15 versão 15.03.05.18: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** D-Link DI-8100 versões 16.07.26A1, 17.12.20A1 e 19.12.10A1 D-Link DI-8100G versões 16.07.26A1, 17.12.20A1 e 19.12.10A1 D-Link DI-8200 versões 16.07.26A1, 17.12.20A1 e 19.12.10A1 D-Link DI-8200G versões 16.07.26A1, 17.12.20A1 e 19.12.10A1 D-Link DI-8003 versões 16.07.26A1, 17.12.20A1 e 19.12.10A1 D-Link DI-8003G versões 16.07.26A1, 17.12.20A1 e 19.12.10A1 **Descrição** Existe uma vulnerabilidade em roteadores D-Link devido a um problema de injeção de comando. A função `sub 4621DC` dentro do arquivo `usb paswd.asp` do componente `jhttpd` é suscetível à exploração. A manipulação do argumento `hname` pode levar à injeção de comando do sistema operacional. Este ataque pode ser iniciado remotamente. **Recomendações** D-Link DI-8100 versões 16.07.26A1, 17.12.20A1 e 19.12.10A1: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. D-Link DI-8100G versões 16.07.26A1, 17.12.20A1 e 19.12.10A1: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. D-Link DI-8200 versões 16.07.26A1, 17.12.20A1 e 19.12.10A1: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. D-Link DI-8200G versões 16.07.26A1, 17.12.20A1 e 19.12.10A1: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. D-Link DI-8003 versões 16.07.26A1, 17.12.20A1 e 19.12.10A1: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. D-Link DI-8003G versões 16.07.26A1, 17.12.20A1 e 19.12.10A1: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** D-Link DI-8100G versões 17.12.20A1 e 19.12.10A1 D-Link DI-8200G versões 17.12.20A1 e 19.12.10A1 D-Link DI-8003G versões 17.12.20A1 e 19.12.10A1 **Descrição** Existe uma vulnerabilidade devido à manipulação do argumento `path` dentro da função `sub 433F7C` do arquivo `version upgrade.asp`, um componente do `jhttpd`, resultando em injeção de comandos do sistema operacional. Esta falha pode ser explorada remotamente. **Recomendações** D-Link DI-8100G versões 17.12.20A1 e 19.12.10A1: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. D-Link DI-8200G versões 17.12.20A1 e 19.12.10A1: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. D-Link DI-8003G versões 17.12.20A1 e 19.12.10A1: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Tenda AC9 version 15.03.05.14 Tenda AC15 version 15.03.05.14 **Description** A vulnerability exists due to the manipulation of the `cmdinput` argument in the `formexeCommand` function within the `/goform/exeCommand` file, leading to OS command injection. Remote exploitation is possible. The exploit has been publicly disclosed. **Recommendations** For Tenda AC9 version 15.03.05.14, address the vulnerability by patching the `formexeCommand` function in the `/goform/exeCommand` file to properly sanitize the `cmdinput` argument. For Tenda AC15 version 15.03.05.14, address the vulnerability by patching the `formexeCommand` function in the `/goform/exeCommand` file to properly sanitize the `cmdinput` argument.

Nome do Software Vulnerável e Versões Afetadas: D-Link DI-7300G+ versão 19.12.25A1 Descrição: Foi identificada uma vulnerabilidade crítica no arquivo httpd debug.asp, na qual a manipulação do argumento `Time` leva à injeção de comandos do sistema operacional. O exploit foi divulgado publicamente e pode ser utilizado. Recomendações: Para o D-Link DI-7300G+ versão 19.12.25A1, considere restringir o acesso ao arquivo httpd debug.asp até que um patch esteja disponível. Como solução alternativa temporária, evite utilizar o argumento `Time` no arquivo afetado para minimizar o risco de exploração.

Name of the Vulnerable Software and Affected Versions: D-Link DI-7300G+ version 19.12.25A1 Description: A critical issue has been found, affecting an unknown function of the file wget test.asp. The manipulation of the `url` argument leads to os command injection. It is possible to launch the attack remotely. Recommendations: For D-Link DI-7300G+ version 19.12.25A1, as a temporary workaround, consider restricting access to the wget test.asp file until a patch is available. Avoid using the `url` argument in the affected file to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this issue.

Nome do Software Vulnerável e Versões Afetadas: D-Link DI-7300G+ versão 19.12.25A1 Descrição: Foi identificada uma falha crítica no roteador D-Link DI-7300G+, afetando alguma funcionalidade desconhecida no arquivo proxy client.asp. A manipulação dos parâmetros `proxy srv`, `proxy lanport`, `proxy lanip` e `proxy srvport` resulta em injeção de comandos do sistema operacional. Esta vulnerabilidade pode ser explorada remotamente. Recomendações: Para o D-Link DI-7300G+ versão 19.12.25A1, como solução temporária, considere restringir o acesso ao arquivo proxy client.asp até que um patch esteja disponível. Evite utilizar os parâmetros `proxy srv`, `proxy lanport`, `proxy lanip` e `proxy srvport` no arquivo afetado para minimizar o risco de exploração. Até o momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.

Nome do Software Vulnerável e Versões Afetadas: D-Link DI-7300G+ versões 17.12.20A1 até 17.12.20A1 D-Link DI-8200G versões 19.12.25A1 até 19.12.25A1 Descrição: Um problema crítico foi encontrado nos dispositivos afetados, afetando uma parte desconhecida do arquivo msp info.htm. A manipulação do argumento `flag/cmd/iface` leva à injeção de comandos do sistema operacional. É possível iniciar o ataque remotamente. Recomendações: Para o D-Link DI-7300G+ versão 17.12.20A1, considere desabilitar o acesso ao arquivo `msp info.htm` até que um patch esteja disponível. Para o D-Link DI-8200G versão 19.12.25A1, restrinja o uso do argumento `flag/cmd/iface` no arquivo afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** Tenda TX3 version 16.03.13.11 multi **Description** A critical issue has been discovered, affecting the /goform/setMacFilterCfg file. The `deviceList` argument is vulnerable to manipulation, leading to a buffer overflow. This issue can be exploited remotely. **Recommendations** For version 16.03.13.11 multi, as a temporary workaround, consider restricting access to the /goform/setMacFilterCfg file until a patch is available. Avoid using the `deviceList` argument in the affected file to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Tenda TX3 version 16.03.13.11 multi **Description** A critical issue was found, affecting the /goform/SetStaticRouteCfg file. The manipulation of the `argument list` leads to a buffer overflow. This issue can be initiated remotely. **Recommendations** For Tenda TX3 version 16.03.13.11 multi, consider restricting access to the /goform/SetStaticRouteCfg endpoint until a patch is available. As a temporary workaround, avoid using the argument list in the affected endpoint to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this issue.

**Name of the Vulnerable Software and Affected Versions** Tenda TX3 version 16.03.13.11 multi **Description** A critical issue has been found in the processing of the file /goform/SetNetControlList, where the manipulation of the `list` argument leads to a buffer overflow. This issue can be exploited remotely. **Recommendations** For Tenda TX3 version 16.03.13.11 multi, consider restricting access to the /goform/SetNetControlList endpoint until a patch is available. As a temporary workaround, avoid using the `list` argument in the affected endpoint to minimize the risk of exploitation.

**Name of the Vulnerable Software and Affected Versions** Tenda TX3 version 16.03.13.11 multi **Description** A critical vulnerability was found in the Tenda TX3, affecting an unknown function of the file /goform/openSchedWifi. The manipulation of the `schedStartTime` and `schedEndTime` arguments leads to a buffer overflow. It is possible to launch the attack remotely. The exploit has been disclosed to the public and may be used. **Recommendations** As a temporary workaround, consider disabling access to the `/goform/openSchedWifi` endpoint until a patch is available. Restrict the use of the `schedStartTime` and `schedEndTime` arguments to minimize the risk of exploitation. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Name of the Vulnerable Software and Affected Versions** Tenda TX3 version 16.03.13.11 multi **Description** A critical issue has been found in the /goform/setPptpUserList file, affecting an unknown functionality. The manipulation of the argument list leads to a buffer overflow. This issue can be exploited remotely. The exploit has been disclosed to the public and may be used. **Recommendations** For Tenda TX3 version 16.03.13.11 multi, as a temporary workaround, consider restricting access to the /goform/setPptpUserList file until a patch is available. Avoid manipulating the argument list to prevent buffer overflow. At the moment, there is no information about a newer version that contains a fix for this vulnerability.