← volver
CVE-2026-13545

D-Link DCS-935L POST Parameter setconf.cgi sub_400E40 os command injection

CVSS 8.7 HIGHEPSS 1.6%CWE-77CWE-78
Vexday Risk Score
41Atención
Decisión SSVC (CISA)
Attend
PoC disponible → seguir de cerca
CVSS 8.7EPSS 1.6%KEV nãoPoC públicaNuclei Metasploit Patch
Ciclo de vida
29 jun 2026Publicada en NVD
Recomendación: Planificar corrección próxima — ya existe PoC pública.
A vulnerability has been found in D-Link DCS-935L 1.10.01. This affects the function sub_400E40 of the file setconf.cgi of the component POST Parameter Handler. Such manipulation of the argument UID leads to os command injection. The attack can be launched remotely. The exploit has been disclosed to the public and may be used.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P
Productos afectados
D-Link · DCS-935L
PoCs públicas encontradas1
cve_referencegithub.com/Real-Simplicity/cve-database/tree/main/CVE_Report_DLink_DCS935L_Command_Injectionno verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/Real-Simplicity/cve-database/tree/main/CVE_Report_DLink_DCS935L_Command_Injectionhttps://vuldb.com/cve/CVE-2026-13545https://vuldb.com/submit/842589https://vuldb.com/vuln/374553https://vuldb.com/vuln/374553/ctihttps://www.dlink.com/