Vulnerabilidad en el parámetro cli login.cgi en los dispositivos D-Link DSL-2750B (CVE-2016-20017)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-77
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
19/10/2022
Última modificación:
05/11/2025
Descripción
Los dispositivos D-Link DSL-2750B versiones anteriores a 1.05, permiten una inyección remota de comandos no autenticados por medio del parámetro cli login.cgi, como ha sido explotado "in the wild" en 2016 hasta 2022
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:dlink:dsl-2750b_firmware:*:*:*:*:*:*:*:* | 1.05 (excluyendo) | |
| cpe:2.3:h:dlink:dsl-2750b:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://seclists.org/fulldisclosure/2016/Feb/53
- https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10088
- https://www.exploit-db.com/exploits/44760
- https://seclists.org/fulldisclosure/2016/Feb/53
- https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10088
- https://www.exploit-db.com/exploits/44760
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2016-20017