Vulnerabilidad en D-Link (CVE-2024-8128)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
24/08/2024
Última modificación:
27/08/2024
Descripción
Una vulnerabilidad fue encontrada como crítica en D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS- 323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 y DNS- 1550-04 hasta 20240814. Este problema afecta la función cgi_add_zip del archivo /cgi-bin/webfile_mgr.cgi del componente HTTP POST Request Handler. La manipulación de la ruta del argumento conduce a la inyección de comandos. El ataque puede iniciarse de forma remota. El exploit ha sido divulgado al público y puede utilizarse. NOTA: Esta vulnerabilidad solo afecta a productos que ya no son compatibles con el fabricante. NOTA: Se contactó primeramente con el proveedor y se confirmó que el producto ha llegado al final de su vida útil. Debería retirarse y reemplazarse.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:dlink:dns-1550-04_firmware:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:dlink:dns-1550-04:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:dlink:dns-1200-05_firmware:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:dlink:dns-1200-05:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:dlink:dns-1100-4_firmware:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:dlink:dns-1100-4:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:dlink:dns-726-4_firmware:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:dlink:dns-726-4:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:dlink:dns-345_firmware:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:dlink:dns-345:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:dlink:dns-343_firmware:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:dlink:dns-343:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:dlink:dns-340l_firmware:-:*:*:*:*:*:*:* | ||
cpe:2.3:h:dlink:dns-340l:-:*:*:*:*:*:*:* | ||
cpe:2.3:o:dlink:dnr-326_firmware:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página