Yun Zhang

**Name of the Vulnerable Software and Affected Versions** D-Link DIR-823X version 250416 **Description** A flaw exists in D-Link DIR-823X 250416 that allows for command injection. This occurs due to a manipulation of the `wd enable` argument within the `sub 412E7C` function of the `/goform/set wifidog settings` file. The attack can be carried out remotely. The exploit is publicly available. **Recommendations** Apply any available updates to address the issue in the affected version. As a temporary workaround, consider restricting access to the `/goform/set wifidog settings` file. Avoid manipulating the `wd enable` argument in the `/goform/set wifidog settings` file.

**Name of the Vulnerable Software and Affected Versions** D-Link DI-8200G version 17.12.20A1 **Description** A flaw exists in D-Link DI-8200G version 17.12.20A1 that allows for command injection. The issue is related to the manipulation of the `path` argument within an unknown function of the `/upgrade filter.asp` file. This allows for remote attacks. The exploit for this issue has been publicly released. **Recommendations** For D-Link DI-8200G version 17.12.20A1, restrict access to the `/upgrade filter.asp` file. As a temporary workaround, consider disabling the affected function until a patch is available.

**Name of the Vulnerable Software and Affected Versions** UTT 进取 512W versions through 1.7.7-171114 **Description** A buffer overflow issue exists in the `strcpy` function within the `/goform/formP2PLimitConfig` file. Manipulation of the `except` argument can lead to a buffer overflow. This issue is potentially exploitable remotely. The exploit has been publicly disclosed. The vendor was notified but did not respond. **Recommendations** Versions prior to 1.7.7-171114 are affected. At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do Software Vulnerável e Versões Afetadas** Tenda AC20 versões até 16.03.08.12 **Descrição** Existe um buffer overflow no roteador Tenda AC20. O problema está localizado em uma função desconhecida no arquivo `/goform/WifiExtraSet`. A manipulação do argumento `wpapsk crypto` pode acionar o overflow, permitindo a execução remota de código. O exploit para este problema está disponível publicamente. **Recomendações** As versões até 16.03.08.12 devem ser atualizadas para uma versão mais recente e segura o mais rápido possível. Como solução temporária, restrinja o acesso ao endpoint `/goform/WifiExtraSet` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** D-Link DI-7001 MINI versões 19.09.19A1 até 24.04.18B1 **Descrição** Existe uma falha no D-Link DI-7001 MINI que permite injeção de comandos. Isso ocorre devido ao tratamento inadequado do argumento `cmd` dentro de uma função desconhecida do arquivo `/msp info.htm`. Um atacante pode aproveitar isso para executar comandos remotamente. O exploit para este problema está disponível publicamente. **Recomendações** D-Link DI-7001 MINI versões 19.09.19A1 até 24.04.18B1: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Sistema de Gestão de Visitantes de Apartamentos Online Campcodes versão 1.0 **Descrição** Existe uma vulnerabilidade de injeção de SQL no Sistema de Gestão de Visitantes de Apartamentos Online Campcodes versão 1.0. O problema está localizado no arquivo `/admin-profile.php` e envolve a manipulação do parâmetro `mobilenumber`. A exploração remota é possível. O exploit foi tornado público. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** D-Link DI-7001 MINI versão 24.04.18B1 **Descrição** Existe uma vulnerabilidade de segurança no D-Link DI-7001 MINI. A manipulação do argumento `str` dentro de uma função desconhecida do arquivo `/dbsrv.asp` pode resultar em um estouro de buffer. Esta vulnerabilidade pode ser explorada remotamente. O exploit foi divulgado publicamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** D-Link DI-7001 MINI versão 24.04.18B1 **Descrição** Existe uma falha no D-Link DI-7001 MINI versão 24.04.18B1. O problema envolve a manipulação do argumento `path` dentro do arquivo `/upgrade filter.asp`, resultando em injeção de comandos do sistema operacional. Essa manipulação ocorre em uma função desconhecida. O ataque pode ser iniciado remotamente e um exploit está disponível publicamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Ruijie NBR2100G-E versões até 20250919 **Descrição** Existe uma falha de segurança no Ruijie NBR2100G-E. O problema está relacionado à injeção de comandos do sistema operacional. Isso ocorre através da manipulação do argumento `city` na função `listAction` dentro do arquivo '/itbox pi/branch passw.php?a=list'. O ataque pode ser realizado remotamente. O exploit foi disponibilizado publicamente. Outros parâmetros também podem estar afetados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Campcodes Computer Sales and Inventory System versão 1.0 **Descrição** Existe uma falha de segurança no Campcodes Computer Sales and Inventory System 1.0. A vulnerabilidade está relacionada à manipulação do argumento `ID` no arquivo '/pages/us edit1.php', resultando em uma injeção de SQL. A exploração remota é possível e o exploit foi divulgado publicamente. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.