CVE-2019-25249

devolo dLAN 500 AV Wireless+ 3.1.0-1 Remote Code Execution via htmlmgr

CVSS 8.7 HIGHEPSS 0.4%CWE-266

Vexday Risk Score

21Bajo

Decisión SSVC (CISA)

Track

Sin señal de explotación → monitorear

CVSS 8.7EPSS 0.4%KEV nãoPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

24 dic 2025Publicada en NVD

Recomendación: Monitorear — sin señal de explotación por ahora.

devolo dLAN 500 AV Wireless+ 3.1.0-1 contains an authentication bypass vulnerability that allows attackers to enable hidden services through the htmlmgr CGI script. Attackers can enable telnet and remote shell services, reboot the device, and gain root access without a password by manipulating system configuration parameters.

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Productos afectados

devolo AG · dLAN 550 duo+ Starter Kit

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.devolo.com https://www.exploit-db.com/exploits/46325 https://www.zeroscience.mk/en/vulnerabilities/ZSL-2019-5508.php