漏洞标题
D-Link DIR-2150 GetDeviceSettings目标命令注入远程代码执行漏洞
漏洞描述信息
D-Link DIR-2150 获取设备设置目标命令注入远程代码执行漏洞。该漏洞允许网络相邻攻击者在影响 D-Link DIR-2150 路由器的安装上执行任意代码。利用此漏洞不需要进行身份验证。
特定的缺陷存在于 SOAP API 接口中,该接口默认监听 TCP 端口 80。此问题源自未在使用之前正确验证用户提供的字符串。攻击者可以利用此漏洞在 root 环境中执行代码。此问题被识别为 ZDI-CAN-21235。
CVSS信息
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
漏洞标题
D-Link DIR-2150 GetDeviceSettings Target Command Injection Remote Code Execution Vulnerability
漏洞描述信息
D-Link DIR-2150 GetDeviceSettings Target Command Injection Remote Code Execution Vulnerability. This vulnerability allows network-adjacent attackers to execute arbitrary code on affected installations of D-Link DIR-2150 routers. Authentication is not required to exploit this vulnerability.
The specific flaw exists within the SOAP API interface, which listens on TCP port 80 by default. The issue results from the lack of proper validation of a user-supplied string before using it to execute a system call. An attacker can leverage this vulnerability to execute code in the context of root. Was ZDI-CAN-21235.
CVSS信息
N/A
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
漏洞标题
D-Link DIR-2150 安全漏洞
漏洞描述信息
D-Link DIR-2150是中国友讯(D-Link)公司的一款无线路由器。 D-Link DIR-2150存在安全漏洞,该漏洞源于存在命令注入远程代码执行漏洞,导致未经身份验证的攻击者可以执行任意代码。
CVSS信息
N/A
漏洞类别
其他