CVE-2019-20500
CVE-2019-20500
Em resumo
Um atacante autenticado pode executar comandos arbitrários no sistema operacional de um roteador D-Link DWL-2600AP injetando caracteres especiais através da função de salvamento de configuração na interface web.
Detalhe técnico
Existe injeção de comando do sistema operacional (CWE-78) no arquivo admin.cgi ao processar os parâmetros configBackup ou downloadServerip durante operações de config_save. Um atacante autenticado pode injetar metacaracteres de shell para executar comandos arbitrários com privilégios do dispositivo. A vulnerabilidade exige credenciais válidas e afeta o firmware D-Link DWL-2600AP versão 4.2.0.15 Rev A.
Resumo gerado e traduzido por IA a partir da descrição oficial.
D-Link DWL-2600AP 4.2.0.15 Rev A devices have an authenticated OS command injection vulnerability via the Save Configuration functionality in the Web interface, using shell metacharacters in the admin.cgi?action=config_save configBackup or downloadServerip parameter.
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 1
cve_referencewww.exploit-db.com/exploits/46841não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →