Vulnerabilidad en dispositivos D-Link (CVE-2018-10823)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
17/10/2018
Última modificación:
08/11/2023
Descripción
Se ha descubierto un problema en dispositivos D-Link DWR-116 hasta la versión 1.06, DWR-512 hasta la versión 2.02, DWR-712 hasta la versión 2.02, DWR-912 hasta la versión 2.02, DWR-921 hasta la versión 2.02 y DWR-111 hasta la versión 1.01. Un atacante autenticado podría ejecutar código arbitrario inyectando el comando shell en el parámetro Sip de la página chkisg.htm. Esto permite el control total de las partes internas del dispositivo.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
9.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:dlink:dwr-116_firmware:*:*:*:*:*:*:*:* | 1.06 (incluyendo) | |
| cpe:2.3:h:dlink:dwr-116:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:dlink:dwr-512_firmware:*:*:*:*:*:*:*:* | 2.02 (incluyendo) | |
| cpe:2.3:h:dlink:dwr-512:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:dlink:dwr-912_firmware:*:*:*:*:*:*:*:* | 2.02 (incluyendo) | |
| cpe:2.3:h:dlink:dwr-921:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:dlink:dwr-111_firmware:*:*:*:*:*:*:*:* | 1.01 (incluyendo) | |
| cpe:2.3:h:dlink:dwr-111:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página