CVE-2025-9745
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-77
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
31/08/2025
Última modificación:
04/09/2025
Descripción
*** Pendiente de traducción *** A security vulnerability has been detected in D-Link DI-500WF 14.04.10A1T. The impacted element is an unknown function of the file /version_upgrade.asp of the component jhttpd. The manipulation of the argument path leads to os command injection. The attack may be initiated remotely. The exploit has been disclosed publicly and may be used.
Impacto
Puntuación base 4.0
5.10
Gravedad 4.0
MEDIA
Puntuación base 3.x
4.70
Gravedad 3.x
MEDIA
Puntuación base 2.0
5.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:dlink:di-500wf_firmware:14.04.10a1t:*:*:*:*:*:*:* | ||
| cpe:2.3:h:dlink:di-500wf:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/physicszq/Routers/blob/main/tmp/01/poc.py
- https://github.com/physicszq/Routers/tree/main/tmp/01
- https://vuldb.com/?ctiid_322044=
- https://vuldb.com/?id_322044=
- https://vuldb.com/?submit_640394=
- https://www.dlink.com/
- https://github.com/physicszq/Routers/blob/main/tmp/01/poc.py
- https://github.com/physicszq/Routers/tree/main/tmp/01