01
漏洞描述
友讯集团(D-Link),成立于1986年,1994年10月于台湾证券交易所挂牌上市,为台湾第一家上市的网络公司,以自创D-Link品牌行销全球,产品遍及100多个国家。D-Link的 历史就是中国网络通讯产业的发展史,二十多年来,D-Link以“Building Networks for People 为人类创造网络”为宗旨,实现全球产品覆盖。有网络的地方,就有D-Link。
命令注入通常因为指Web应用在服务器上拼接系统命令而造成的漏洞。
该类漏洞通常出现在调用外部程序完成一些功能的情景下。比如一些Web管理界面的配置主机名/IP/掩码/网关、查看系统信息以及关闭重启等功能,或者一些站点提供如ping、nslookup、提供发送邮件、转换图片等功能都可能出现该类漏洞。
02
漏洞危害
D-Link DIR882存在命令注入漏洞,D-Link DIR882 DIR882A1_FW130B06 的组件 /setnetworksettings/SubnetMask中的命令注入漏洞允许攻击者通过精心设计的有效负载将权限提升到 root。
03
影响范围
D-Link DIR882 A1_FW130B06
04
漏洞等级
高危
06
修复方案
厂商已发布了漏洞修复程序,请及时关注更新:
https://www.dlink.com/en/security-bulletin/
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】D-Link DIR882命令注入漏洞(CVE-2022-28896)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论