Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en D-Link DAR-7000 (CVE-2024-9004)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
19/09/2024
Última modificación:
23/09/2024

Descripción

Se ha encontrado una vulnerabilidad clasificada como crítica en D-Link DAR-7000 hasta el 20240912. Se ve afectada una función desconocida del archivo /view/DBManage/Backup_Server_commit.php. La manipulación del argumento host provoca la inyección de comandos del sistema operativo. Es posible lanzar el ataque de forma remota. El exploit se ha hecho público y puede utilizarse. NOTA: Esta vulnerabilidad solo afecta a los productos que ya no reciben soporte del fabricante.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:dlink:dar-7000_firmware:*:*:*:*:*:*:*:* 2024-09-12 (incluyendo)
cpe:2.3:h:dlink:dar-7000:-:*:*:*:*:*:*:*