PT-2022-1647 · D Link · D-Link Dir-846
Publicado
2022-02-17
·
Atualizado
2022-07-12
·
CVE-2021-46314
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
D-Link DIR-846, versões DIR846A1 FW100A43.bin a DIR846enFW100A53DLA-Retail.bin
Descrição
O problema está relacionado à validação insuficiente de argumentos no script HNAP1/control/SetNetworkTomographySettings.php, permitindo que um invasor remoto execute comandos arbitrários usando uma solicitação especialmente criada. Isso pode ser feito explorando o uso de crases para injeção de comandos durante a validação de nomes de domínio.
Recomendações
Para as versões do D-Link DIR-846 de DIR846A1 FW100A43.bin a DIR846enFW100A53DLA-Retail.bin, considere desativar o acesso ao script HNAP1/control/SetNetworkTomographySettings.php como uma solução temporária até que um patch esteja disponível. Restrinja o uso de crases na validação de nomes de domínio para minimizar o risco de injeção de comando. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
D-Link Dir-846