CVE-2023-25280

CVSS 9.8 CRITICALEPSS 98.1%● KEVCWE-78

Em resumo

Um roteador D-Link tem uma falha crítica no recurso de ping que permite que invasores injetem comandos maliciosos e assumam controle total do dispositivo como administrador.

Detalhe técnico

Vulnerabilidade de injeção de comando OS no endpoint ping.ccp através do parâmetro ping_addr permite que invasores executem comandos arbitrários com privilégios de root. A falha resulta de validação insuficiente de entrada em parâmetros fornecidos pelo usuário passados para funções de execução de comando do sistema.

Resumo gerado e traduzido por IA a partir da descrição oficial.

OS Command injection vulnerability in D-Link DIR820LA1_FW105B03 allows attackers to escalate privileges to root via a crafted payload with the ping_addr parameter to ping.ccp.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/migraine-sudo/D_Link_Vuln/tree/main/cmd%20Inject%20in%20pingV4Msg https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2023-25280 https://www.dlink.com/en/security-bulletin/