CVE-2019-16057

CVSS 9.8 CRITICALEPSS 87.2%● KEVCWE-78

En resumen

El script de gestor de inicio de sesión en dispositivos D-Link DNS-320 permite que atacantes ejecuten comandos arbitrarios en el aparato sin autenticación. Esto otorga control total sobre el almacenamiento y sus datos.

Detalle técnico

El endpoint login_mgr.cgi es vulnerable a inyección de comandos del sistema operativo (CWE-78) por validación insuficiente de entrada. Un atacante remoto no autenticado puede inyectar comandos shell mediante parámetros controlados por el usuario, resultando en ejecución de código arbitrario con privilegios del dispositivo. Versiones afectadas: D-Link DNS-320 hasta 2.05.B10.

Resumen generado y traducido por IA a partir de la descripción oficial.

The login_mgr.cgi script in D-Link DNS-320 through 2.05.B10 is vulnerable to remote command injection.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Productos afectados

n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://blog.cystack.net/d-link-dns-320-rce/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-16057 https://www.ftc.gov/system/files/documents/cases/dlink_proposed_order_and_judgment_7-2-19.pdf