PT-2024-7349 · D Link · D-Link Dir-878+2
Publicado
2024-10-17
·
Atualizado
2024-10-18
·
CVE-2024-48629
CVSS v3.1
8.0
Alta
| Vetor | AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas:
D-Link DIR 882, versões FW130B06
D-Link DIR 878, versão FW130B08
D-Link DIR-822 (versões afetadas não especificadas)
Descrição:
Existe uma vulnerabilidade de injeção de comando por meio do parâmetro
IPAddress na função SetGuestZoneRouterSettings, permitindo que invasores executem comandos arbitrários do sistema operacional por meio de uma solicitação POST maliciosa. Isso se deve à falta de neutralização adequada de elementos especiais usados no comando do sistema operacional. A vulnerabilidade pode ser explorada por um invasor remoto para executar comandos arbitrários.Recomendações:
Para o D-Link DIR 882 versão FW130B06, considere desativar a função
SetGuestZoneRouterSettings até que um patch esteja disponível.Para o D-Link DIR 878 versão FW130B08, restrinja o acesso ao parâmetro
IPAddress na função SetGuestZoneRouterSettings para minimizar o risco de exploração.Para o D-Link DIR-822, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
D-Link Dir-822
D-Link Dir-878
D-Link Dir-882