Vulnerabilidad en D-Link (CVE-2019-16920)
Severidad:
CRÍTICA
Type:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
27/09/2019
Última modificación:
16/07/2024
Descripción
La ejecución de código remota no autenticada se presenta en productos D-Link tales como DIR-655C, DIR-866L, DIR-652, y DHP-1565. El problema se presenta cuando el atacante envía una entrada arbitraria hacia una interfaz de la puerta de enlace común del dispositivo "PingTest" que podría conllevar a una inyección común. Un atacante que activa con éxito la inyección de comando podría lograr un compromiso total del sistema. Después, se descubrió de manera independiente que estos también se ven afectados: DIR-855L, DAP-1533, DIR-862L, DIR-615, DIR-835 y DIR-825.
Impacto
Puntuación base 3.x
9.80
Severidad 3.x
CRÍTICA
Puntuación base 2.0
10.00
Severidad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:dlink:dir-655_firmware:*:*:*:*:*:*:*:* | 3.02b05 (incluyendo) | |
| cpe:2.3:h:dlink:dir-655:cx:*:*:*:*:*:*:* | ||
| cpe:2.3:o:dlink:dir-866l_firmware:*:*:*:*:*:*:*:* | 1.03b04 (incluyendo) | |
| cpe:2.3:h:dlink:dir-866l:ax:*:*:*:*:*:*:* | ||
| cpe:2.3:o:dlink:dir-652_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:dlink:dir-652:ax:*:*:*:*:*:*:* | ||
| cpe:2.3:o:dlink:dhp-1565_firmware:*:*:*:*:*:*:*:* | 1.01 (incluyendo) | |
| cpe:2.3:h:dlink:dhp-1565:ax:*:*:*:*:*:*:* | ||
| cpe:2.3:o:dlink:dir-855l_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:dlink:dir-855l:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:dlink:dap-1533_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:dlink:dap-1533:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:dlink:dir-862l_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:dlink:dir-862l:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:dlink:dir-615_firmware:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página