PT-2021-22600 · D Link · D-Link Dir816 A1 Fw101Cnb04
Doudoudedi
·
Publicado
2021-08-24
·
Atualizado
2021-09-01
·
CVE-2021-39510
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
D-Link DIR816 A1 FW101CNB04
Descrição:
Foi descoberta uma vulnerabilidade no roteador sem fio D-Link DIR816 A1 FW101CNB04 750m11ac. O parâmetro de solicitação HTTP é utilizado na função de tratamento da rota “/goform/form2userconfig.cgi”, o que permite construir a string de nome de usuário para excluir a função do usuário. Isso pode levar à injeção de comando por meio de metacaracteres do shell.
Recomendações:
Para o D-Link DIR816 A1 FW101CNB04, considere desativar a rota
/goform/form2userconfig.cgi até que um patch esteja disponível para impedir a injeção de comando por meio de metacaracteres de shell. Restrinja o acesso a essa rota para minimizar o risco de exploração. Evite usar o parâmetro username no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
D-Link Dir816 A1 Fw101Cnb04