漏洞标题
N/A
漏洞描述信息
这个漏洞允许网络相邻的攻击者在其受影响的D-Link DIR-825 1.0.9/EE路由器上执行任意代码。无需验证身份即可利用此漏洞。攻击者可以利用xupnpd服务中的 Vimeo插件中的特定漏洞,该漏洞存在于该服务中的TCP端口4044上。该问题源于在用户输入字符串进行调用之前未进行适当的验证。攻击者可以利用此漏洞在管理员用户上下文中执行代码。该漏洞造成的影响是ZDI-CAN-19463。
CVSS信息
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
This vulnerability allows network-adjacent attackers to execute arbitrary code on affected installations of D-Link DIR-825 1.0.9/EE routers. Authentication is not required to exploit this vulnerability. The specific flaw exists within the Vimeo plugin for the xupnpd service, which listens on TCP port 4044. The issue results from the lack of proper validation of a user-supplied string before using it to execute a system call. An attacker can leverage this vulnerability to execute code in the context of the admin user. Was ZDI-CAN-19463.
CVSS信息
N/A
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
漏洞标题
D-Link DIR-825 操作系统命令注入漏洞
漏洞描述信息
D-Link DIR-825是中国友讯(D-Link)公司的一款路由器。 D-Link DIR-825 存在操作系统命令注入漏洞,该漏洞源于使用用户提供的字符串执行系统调用之前未对其进行适当验证。
CVSS信息
N/A
漏洞类别
授权问题