一、 漏洞 CVE-2022-3210 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
这个漏洞允许网络相邻的黑客在受影响的D-Link DIR-2150 4.0.1路由器上执行任意命令。利用此漏洞不需要进行身份验证。这个漏洞存在于xupnpd服务中,默认情况下会倾听TCP端口4044。问题源于在将用户输入字符串用于执行系统调用之前未进行适当的验证。黑客可以利用此漏洞在服务账户上下文中执行代码。此代码是ZDI-CAN-15905。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
This vulnerability allows network-adjacent attackers to execute arbitrary commands on affected installations of D-Link DIR-2150 4.0.1 routers. Authentication is not required to exploit this vulnerability. The specific flaw exists within the xupnpd service, which listens on TCP port 4044 by default. The issue results from the lack of proper validation of a user-supplied string before using it to execute a system call. An attacker can leverage this vulnerability to execute code in the context of the service account. Was ZDI-CAN-15905.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
D-Link DIR-2150 操作系统命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
D-Link DIR-2150是中国友讯(D-Link)公司的一款无线路由器。 D-Link DIR-2150 4.0.1 版本存在操作系统命令注入漏洞,该漏洞源于使用用户提供的字符串执行系统调用之前未对其进行适当验证。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-3210 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2022-3210 的情报信息