PT-2022-1645 · D Link · D-Link Dir-846
Publicado
2022-02-17
·
Atualizado
2022-02-25
·
CVE-2021-46319
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
D-Link DIR-846, versões DIR846A1 FW100A43.bin a DIR846enFW100A53DLA-Retail.bin
Descrição
O problema está relacionado à verificação insuficiente de argumentos no firmware dos roteadores D-Link DIR-846, permitindo que invasores remotos executem comandos arbitrários. Isso pode ser feito contornando os metacaracteres do shell nos parâmetros
ssid0 ou ssid1 usando quebras de linha ou crases. A vulnerabilidade existe devido a um patch incompleto para um problema anterior.Recomendações
Para as versões DIR846A1 FW100A43.bin até DIR846enFW100A53DLA-Retail.bin, considere restringir o acesso aos parâmetros vulneráveis
ssid0 e ssid1 para minimizar o risco de exploração. Como solução temporária, evite usar crases ou quebras de linha nesses parâmetros até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
D-Link Dir-846