PT-2021-6098 · D Link · D-Link Dir-882
Publicado
2021-12-13
·
Atualizado
2022-07-12
·
CVE-2021-44881
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
D-Link DIR 882 versão DIR 882 FW1.30B06 Hotfix 02
Descrição
O problema está relacionado a uma vulnerabilidade de injeção de comando na função
twsystem. Isso permite que invasores executem comandos arbitrários por meio de uma solicitação POST HNAP1 maliciosa enviada ao endpoint da API /, embora o endpoint exato não seja especificado. A vulnerabilidade se deve à falta de neutralização adequada de elementos especiais usados no comando do sistema operacional.Recomendações
Para o D-Link DIR 882 versão DIR 882 FW1.30B06 Hotfix 02, como solução temporária, considere desativar a função
twsystem() até que um patch esteja disponível. Restrinja o acesso ao protocolo HNAP1 para minimizar o risco de exploração. Evite usar a função vulnerável no dispositivo afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
OS Command Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
D-Link Dir-882