CVE-2026-4207
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
16/03/2026
Última modificación:
16/03/2026
Descripción
Se determinó una vulnerabilidad en D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 y DNS-1550-04 hasta 20260205. Esto afecta a la función cgi_device/cgi_sms_test/cgi_firmware_upload/cgi_ntp_time del archivo /cgi-bin/system_mgr.cgi. La ejecución de una manipulación puede llevar a una inyección de comandos. El ataque puede realizarse de forma remota. El exploit ha sido divulgado públicamente y puede ser utilizado.
Impacto
Puntuación base 4.0
5.30
Gravedad 4.0
MEDIA
Puntuación base 3.x
6.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/wudipjq/my_vuln/blob/main/D-Link8/vuln_141/141.md
- https://github.com/wudipjq/my_vuln/blob/main/D-Link8/vuln_142/142.md
- https://vuldb.com/?ctiid_351119=
- https://vuldb.com/?id_351119=
- https://vuldb.com/?submit_770420=
- https://vuldb.com/?submit_770422=
- https://vuldb.com/?submit_770423=
- https://vuldb.com/?submit_770425=
- https://www.dlink.com/