← voltar
CVE-2019-16057

CVE-2019-16057

CVSS 9.8 CRITICALEPSS 87.2%● KEVCWE-78
Vexday Risk Score
95Corrigir agora
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
CVSS 9.8EPSS 87.2%KEV simPoC Nuclei simMetasploit Patch
Ciclo de vida
16 set 2019Publicada no NVD
15 abr 2022Exploração ativa (CISA KEV)
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo

O script de gerenciamento de login em dispositivos D-Link DNS-320 permite que atacantes executem comandos arbitrários no aparelho sem necessidade de autenticação. Isso concede controle total sobre o armazenamento e seus dados.

Detalhe técnico

O endpoint login_mgr.cgi é vulnerável a injeção de comando do sistema operacional (CWE-78) por validação inadequada de entrada. Um atacante remoto não autenticado pode injetar comandos shell por parâmetros controlados pelo usuário, resultando em execução de código arbitrário com privilégios do dispositivo. Versões afetadas: D-Link DNS-320 até 2.05.B10.

Resumo gerado e traduzido por IA a partir da descrição oficial.
The login_mgr.cgi script in D-Link DNS-320 through 2.05.B10 is vulnerable to remote command injection.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://blog.cystack.net/d-link-dns-320-rce/https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2019-16057https://www.ftc.gov/system/files/documents/cases/dlink_proposed_order_and_judgment_7-2-19.pdf