PT-2020-5338 · D Link · Dsr-250N+8
Publicado
2020-08-11
·
Atualizado
2021-07-21
·
CVE-2020-25759
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
D-Link DSR-250 versão 3.17
D-Link DSR-150 (versões afetadas não especificadas)
D-Link DSR-150N (versões afetadas não especificadas)
D-Link DSR-250N (versões afetadas não especificadas)
D-Link DSR-500 (versões afetadas não especificadas)
D-Link DSR-500N (versões afetadas não especificadas)
D-Link DSR-500AC (versões afetadas não especificadas)
D-Link DSR-1000 (versões afetadas não especificadas)
D-Link DSR-1000N (versões afetadas não especificadas)
D-Link DSR-1000AC (versões afetadas não especificadas)
Descrição
O problema está relacionado à interface web do Unified Services Router, onde certas funcionalidades poderiam permitir que um invasor autenticado executasse comandos arbitrários devido à falta de validação das entradas fornecidas em solicitações HTTP POST multipart. Isso poderia potencialmente permitir que um invasor remoto elevasse seus privilégios e executasse código arbitrário.
Recomendações
Para o D-Link DSR-250 versão 3.17, considere desativar a funcionalidade vulnerável na interface web do Unified Services Router até que uma correção esteja disponível.
Para o D-Link DSR-150, DSR-150N, DSR-250N, DSR-500, DSR-500N, DSR-500AC, DSR-1000, DSR-1000N e DSR-1000AC, restrinja o acesso à interface web do Unified Services Router para minimizar o risco de exploração, uma vez que as versões afetadas não foram especificadas.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
OS Command Injection
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Dsr-1000
Dsr-1000Ac
Dsr-1000N
Dsr-150
Dsr-250
Dsr-250N
Dsr-500
Dsr-500Ac
Dsr-500N