D-Link DAP-1650 gena.cgi SUBSCRIBE命令注入漏洞分析

本文详细分析了D-Link DAP-1650路由器中gena.cgi模块在处理UPnP SUBSCRIBE消息时存在的命令注入漏洞,攻击者可无需认证以root权限执行任意命令,CVSSv2评分为8.3分。

D-Link DAP-1650 gena.cgi SUBSCRIBE命令注入漏洞

发布日期:2024年1月25日
公告类型:安全建议

漏洞标识符

  • Exodus Intelligence: EIP-13d90c2b
  • MITRE: CVE-2024-23624

漏洞描述

D-Link DAP-1650设备在处理UPnP SUBSCRIBE消息时,其gena.cgi模块存在命令注入漏洞。未经身份验证的攻击者能够利用此漏洞以root权限在设备上执行任意命令。

漏洞指标

CVSSv2向量: AV:A/AC:L/Au:N/C:C/I:C/A:C
CVSSv2评分: 8.3

供应商参考

受影响产品已终止生命周期支持,无可用补丁。
参考链接:https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10266

发现荣誉

Exodus Intelligence

披露时间线

  • 向厂商披露: 2021年12月14日
  • 厂商回应披露: 2022年1月27日
  • 公开披露: 2024年1月25日

更多信息

对本公告感兴趣并希望获取漏洞详细细节、缓解措施、检测指南等更多信息的读者,可通过以下联系方式与我们取得联系:sales@exodusintel.com

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次