漏洞标题
N/A
漏洞描述信息
这个漏洞允许网络相邻的攻击者对D-Link DIR-1935 1.03路由器受影响的 installations 执行任意代码。尽管要利用这个漏洞需要进行身份验证,但现有的身份验证机制可以绕过。这个具体问题存在于将SetWebFilterSetting请求发送到Web管理门户的处理方式中。在解析WebFilterURLs元素时,过程在用它执行系统调用之前没有正确验证用户提供的字符串。攻击者可以利用这个漏洞在根上下文中执行代码。
ZDI-CAN-16140。
CVSS信息
CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
This vulnerability allows network-adjacent attackers to execute arbitrary code on affected installations of D-Link DIR-1935 1.03 routers. Although authentication is required to exploit this vulnerability, the existing authentication mechanism can be bypassed. The specific flaw exists within the handling of SetWebFilterSetting requests to the web management portal. When parsing the WebFilterURLs element, the process does not properly validate a user-supplied string before using it to execute a system call. An attacker can leverage this vulnerability to execute code in the context of root. Was ZDI-CAN-16140.
CVSS信息
N/A
漏洞类别
在命令中使用的特殊元素转义处理不恰当(命令注入)
漏洞标题
D-Link DIR-1935 命令注入漏洞
漏洞描述信息
D-Link DIR-1935是中国友讯(D-Link)公司的一款无线路由器。 D-Link DIR-1935 存在命令注入漏洞,该漏洞源于解析 WebFilterURLs 元素时,进程在使用用户提供的字符串执行系统调用之前未正确验证。
CVSS信息
N/A
漏洞类别
命令注入