PT-2025-40892 · D Link · Di-7100G C1
Sheratan
·
Publicado
2025-10-06
·
Atualizado
2025-11-20
·
CVE-2025-11335
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
D-Link DI-7100G C1 versões até 20250928
Descrição
Existe uma falha no D-Link DI-7100G C1 que permite injeção de comando remoto. Isso se deve à manipulação do argumento
iface dentro da função sub 46409C do arquivo /msp info.htm?flag=qos, parte do componente jhttpd. O exploit para esta vulnerabilidade foi divulgado publicamente.Recomendações
Versões anteriores a 20250928 devem ser atualizadas. Como medida de contorno temporária, restrinja o acesso ao arquivo
/msp info.htm?flag=qos. Evite utilizar o parâmetro iface no endpoint de API afetado até que o problema seja resolvido.Exploit
Correção
Special Elements Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Di-7100G C1