CVE-2020-25506

CVSS 9.8 CRITICALEPSS 100.0%● KEVCWE-78

Em resumo

Roteadores D-Link DNS-320 com firmware versão 2.06B01 possuem uma falha de segurança que permite que atacantes executem comandos arbitrários no dispositivo remotamente sem autenticação, potencialmente assumindo controle total do roteador.

Detalhe técnico

Vulnerabilidade de injeção de comando no endpoint system_mgr.cgi permite que atacantes remotos não autenticados executem comandos arbitrários do sistema operacional através de entrada especialmente elaborada, levando a comprometimento completo do sistema. A vulnerabilidade existe na lógica de processamento de comandos que falha em sanitizar adequadamente a entrada do usuário antes de passá-la para funções de execução em shell.

Resumo gerado e traduzido por IA a partir da descrição oficial.

D-Link DNS-320 FW v2.06B01 Revision Ax is affected by command injection in the system_mgr.cgi component, which can lead to remote arbitrary code execution.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Produtos afetados

n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://gist.github.com/WinMin/6f63fd1ae95977e0e2d49bd4b5f00675 https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10183 https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-25506 https://www.dlink.com/en/security-bulletin/