概述
CVE-2022-50596 - D-Link DIR-1260 ≤ v1.20B05 GetDeviceSettings 未授权命令注入漏洞
漏洞描述
D-Link DIR-1260 Wi-Fi路由器固件版本v1.20B05及更早版本在web管理界面中存在命令注入漏洞,允许未经身份验证的攻击者在设备上以root权限执行任意命令。该漏洞具体存在于GetDeviceSettings表单的SetDest/Dest/Target参数中。管理界面可通过HTTP和HTTPS在本地网络和Wi-Fi网络上访问,并可选择从互联网访问。
漏洞详情
- 发布时间:2025年11月6日 20:15
- 最后修改:2025年11月6日 20:15
- 远程利用:是
- 漏洞来源:disclosure@vulncheck.com
受影响产品
以下产品受到CVE-2022-50596漏洞影响:
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Salesagility | suitecrm |
受影响厂商总数:1 | 产品总数:1
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 9.3 | CVSS 4.0 | 严重 | 83251b91-4cc7-4094-a5c7-464a1b83ea10 | |||
| 9.3 | CVSS 4.0 | 严重 | disclosure@vulncheck.com |
解决方案
- 更新路由器固件以修补命令注入漏洞并保护web界面安全
- 更新路由器固件至最新版本
- 如不需要,禁用远程管理功能
- 限制对管理界面的访问
参考链接
- https://blog.exodusintel.com/2022/05/11/d-link-dir-1260-getdevicesettings-pre-auth-command-injection-vulnerability/
- https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10298
- https://www.vulncheck.com/advisories/dlink-dir1260-getdevicesettings-unauthenticated-command-injection
CWE - 常见弱点枚举
CWE-78:操作系统命令中使用的特殊元素的不当中和(OS命令注入)
常见攻击模式枚举和分类(CAPEC)
- CAPEC-6:参数注入
- CAPEC-15:命令分隔符
- CAPEC-43:利用多输入解释层
- CAPEC-88:OS命令注入
- CAPEC-108:通过SQL注入执行命令行
漏洞时间线
新CVE接收:由disclosure@vulncheck.com于2025年11月6日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | D-Link DIR-1260 Wi-Fi路由器固件版本v1.20B05及更早版本在web管理界面中存在命令注入漏洞… | |
| 添加 | CVSS V4.0 | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X | |
| 添加 | CWE | CWE-78 | |
| 添加 | 参考 | https://blog.exodusintel.com/2022/05/11/d-link-dir-1260-getdevicesettings-pre-auth-command-injection-vulnerability/ | |
| 添加 | 参考 | https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10298 | |
| 添加 | 参考 | https://www.vulncheck.com/advisories/dlink-dir1260-getdevicesettings-unauthenticated-command-injection |