PT-2020-6764 · D Link · D-Link Dir-823G
Publicado
2020-09-14
·
Atualizado
2021-11-05
·
CVE-2020-25367
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
D-Link DIR-823G versão V1.0.2B05
Descrição
Foi descoberta uma vulnerabilidade de injeção de comando no protocolo HNAP1. Um invasor pode executar scripts web arbitrários por meio de metacaracteres de shell no campo
Captcha para fazer login. Esse problema está relacionado à verificação insuficiente de argumentos na implementação do protocolo, permitindo que um invasor remoto execute comandos arbitrários ao introduzir metacaracteres especialmente criados.Recomendações
Para o D-Link DIR-823G versão V1.0.2B05, considere desativar o campo Captcha para o login até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao protocolo HNAP1 para minimizar o risco de ataques de injeção de comando. Evite usar o campo
Captcha no processo de login até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
D-Link Dir-823G