CVE-2019-16057

CVSS 9.8 CRITICALEPSS 87.2%● KEVCWE-78

Em resumo

O script de gerenciamento de login em dispositivos D-Link DNS-320 permite que atacantes executem comandos arbitrários no aparelho sem necessidade de autenticação. Isso concede controle total sobre o armazenamento e seus dados.

Detalhe técnico

O endpoint login_mgr.cgi é vulnerável a injeção de comando do sistema operacional (CWE-78) por validação inadequada de entrada. Um atacante remoto não autenticado pode injetar comandos shell por parâmetros controlados pelo usuário, resultando em execução de código arbitrário com privilégios do dispositivo. Versões afetadas: D-Link DNS-320 até 2.05.B10.

Resumo gerado e traduzido por IA a partir da descrição oficial.

The login_mgr.cgi script in D-Link DNS-320 through 2.05.B10 is vulnerable to remote command injection.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://blog.cystack.net/d-link-dns-320-rce/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-16057 https://www.ftc.gov/system/files/documents/cases/dlink_proposed_order_and_judgment_7-2-19.pdf