CVE-2026-4209
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-74
Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)
Fecha de publicación:
16/03/2026
Última modificación:
16/03/2026
Descripción
Se identificó una vulnerabilidad en D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 y DNS-1550-04 hasta el 20260205. La función afectada es cgi_create_import_users/cgi_user_batch_create/cgi_user_set_quota/cgi_user_del/cgi_user_modify/cgi_group_set_quota/cgi_group_modify/cgi_group_add/cgi_user_add/cgi_get_modify_group_info/cgi_chg_admin_pw del archivo /cgi-bin/account_mgr.cgi. La manipulación conduce a inyección de comandos. Es posible iniciar el ataque de forma remota. El exploit está disponible públicamente y podría ser utilizado.
Impacto
Puntuación base 4.0
5.30
Gravedad 4.0
MEDIA
Puntuación base 3.x
6.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/wudipjq/my_vuln/blob/main/D-Link8/vuln_148/148.md
- https://github.com/wudipjq/my_vuln/blob/main/D-Link8/vuln_149/149.md
- https://vuldb.com/?ctiid_351120=
- https://vuldb.com/?id_351120=
- https://vuldb.com/?submit_770429=
- https://vuldb.com/?submit_770430=
- https://vuldb.com/?submit_770431=
- https://vuldb.com/?submit_770432=
- https://vuldb.com/?submit_770433=
- https://vuldb.com/?submit_770434=
- https://vuldb.com/?submit_770435=
- https://vuldb.com/?submit_770436=
- https://vuldb.com/?submit_770437=
- https://vuldb.com/?submit_770438=
- https://www.dlink.com/