漏洞标题
N/A
漏洞描述信息
在D-Link DIR-878设备上发现了一个1.12A1固件的问题。该问题是一个命令注入,允许远程攻击者执行任意代码并获得root shell。命令注入漏洞允许攻击者通过构造/HNAP1 POST请求来执行任意操作系统命令。当任何HNAP API函数触发从请求体中获取不 trusted input的SetQoSSettings API函数时,此现象就会发生,如IPAddress字段中的shell字符所示。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
An issue was discovered on D-Link DIR-878 devices with firmware 1.12A1. This issue is a Command Injection allowing a remote attacker to execute arbitrary code, and get a root shell. A command Injection vulnerability allows attackers to execute arbitrary OS commands via a crafted /HNAP1 POST request. This occurs when any HNAP API function triggers a call to the system function with untrusted input from the request body for the SetQoSSettings API function, as demonstrated by shell metacharacters in the IPAddress field.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
D-Link DIR-878 操作系统命令注入漏洞
漏洞描述信息
D-Link DIR-878是中国台湾友讯(D-Link)公司的一款无线路由器。 使用1.12A1版本固件的D-Link DIR-878中存在操作系统命令注入漏洞。远程攻击者可通过发送特制的POST请求利用该漏洞执行任意的操作系统命令。
CVSS信息
N/A
漏洞类别
授权问题