Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

D-Link›Оборудованиеbdu,nvd

Dir-2150

Уязвимости

34

Эксплуатируемые

0

Макс. CVSS

8.8

Макс. EPSS

0.18195

Распределение по критичности

Критический

0

Высокий

24

Средний

10

Низкий

0

Также сопоставлено как (исходные строки): dir-2150_firmware,dir-2150

Топ уязвимостей

CVE-2024-5291Уязвимость D-Link DIR-2150, связанная с удаленным выполнением кода путем внедрения команд в GetDeviceSettings Target. Эта уязвимость позволяет злоумышленникам, находящимся в той же сети, выполнять произвольный код на затронутых установках маршрутизаторов D-Link DIR-2150. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретный недостаток заключается в интерфейсе SOAP API, который прослушивает TCP-порт 80 по умолчанию. Проблема возникает из-за отсутствия надлежащей проверки предоставленной пользователем строки перед использованием ее для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Идентификатор ZDI-CAN-21235.

CVE-2023-34282D-Link DIR-2150 HNAP Некорректная реализация алгоритма аутентификации, уязвимость обхода аутентификации. Эта уязвимость позволяет злоумышленникам, находящимся в той же сети, обходить аутентификацию в затронутых установках маршрутизаторов D-Link DIR-2150. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретная ошибка существует в интерфейсе SOAP API, который по умолчанию прослушивает TCP-порт 80. Специально созданный заголовок аутентификации может привести к успешной аутентификации без предоставления надлежащих учетных данных. Злоумышленник может использовать эту уязвимость для обхода аутентификации в системе. Ранее ZDI-CAN-20910.

CVE-2023-34279D-Link DIR-2150 GetDeviceSettings Target Command Injection, уязвимость удаленного выполнения кода. Эта уязвимость позволяет злоумышленникам, находящимся в той же сети, выполнять произвольный код на затронутых установках маршрутизаторов D-Link DIR-2150. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретный недостаток существует в интерфейсе SOAP API, который прослушивает TCP-порт 80 по умолчанию. Проблема возникает из-за отсутствия надлежащей проверки строки, предоставленной пользователем, перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Was ZDI-CAN-20558.

CVE-2023-34274D-Link DIR-2150 LoginPassword Некорректная реализация алгоритма аутентификации, уязвимость обхода аутентификации. Эта уязвимость позволяет злоумышленникам, находящимся в той же сети, обходить аутентификацию на затронутых установках маршрутизаторов D-Link DIR-2150. Для эксплуатации этой уязвимости аутентификация не требуется. Конкретный недостаток существует в интерфейсе SOAP API, который прослушивает TCP-порт 80 по умолчанию. Специально созданный запрос на вход в систему может привести к успешной аутентификации без предоставления надлежащих учетных данных. Злоумышленник может использовать эту уязвимость для обхода аутентификации в системе. Was ZDI-CAN-20552.

CVE-2022-40720Эта уязвимость позволяет злоумышленникам, находящимся в непосредственной близости к сети, выполнять произвольные команды на затронутых установках маршрутизаторов D-Link DIR-2150 4.0.1. Для эксплуатации этой уязвимости не требуется аутентификация. Конкретная ошибка существует в плагине Dreambox для службы xupnpd, которая прослушивает TCP-порт 4044 по умолчанию. Проблема возникает из-за отсутствия надлежащей проверки строки, предоставленной пользователем, перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте маршрутизатора. Был ZDI-CAN-15935.

CVE-2022-40719Эта уязвимость позволяет злоумышленникам, находящимся в непосредственной близости к сети, выполнять произвольные команды на затронутых установках маршрутизаторов D-Link DIR-2150 4.0.1. Для эксплуатации этой уязвимости не требуется аутентификация. Конкретная ошибка существует в плагине xupnpd_generic.lua для службы xupnpd, которая прослушивает TCP-порт 4044 по умолчанию. При анализе параметра feed процесс не проверяет должным образом строку, предоставленную пользователем, перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте учетной записи службы. Был ZDI-CAN-15906.

CVE-2022-40718Эта уязвимость позволяет злоумышленникам, находящимся в непосредственной близости к сети, выполнять произвольный код на затронутых маршрутизаторах D-Link DIR-2150 4.0.1. Для эксплуатации этой уязвимости не требуется аутентификация. Конкретная ошибка существует в службе anweb, которая прослушивает TCP-порты 80 и 443 по умолчанию. Проблема возникает из-за отсутствия надлежащей проверки длины данных, предоставленных пользователем, перед их копированием в буфер фиксированной длины, основанный на стеке. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Был ZDI-CAN-15728.

CVE-2022-40717Эта уязвимость позволяет злоумышленникам, находящимся в непосредственной близости к сети, выполнять произвольный код на затронутых маршрутизаторах D-Link DIR-2150 4.0.1. Для эксплуатации этой уязвимости не требуется аутентификация. Конкретная ошибка существует в службе anweb, которая прослушивает TCP-порты 80 и 443 по умолчанию. Проблема возникает из-за отсутствия надлежащей проверки длины данных, предоставленных пользователем, перед их копированием в буфер фиксированной длины, основанный на стеке. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Был ZDI-CAN-15727.

CVE-2022-3210Эта уязвимость позволяет находящимся в сети злоумышленникам выполнять произвольные команды на затронутых установках маршрутизаторов D-Link DIR-2150 4.0.1. Аутентификация не требуется для эксплуатации этой уязвимости. Конкретный дефект существует в службе xupnpd, которая по умолчанию прослушивает TCP-порт 4044. Проблема возникает из-за отсутствия надлежащей проверки пользовательской строки перед использованием её для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте учетной записи службы.

BDU:2024-05910Уязвимость реализации прикладного программного интерфейса микропрограммного обеспечения маршрутизаторов D-Link DIR-2150 существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

BDU:2023-03034Уязвимость функции LoginPassword реализации прикладного программного интерфейса микропрограммного обеспечения маршрутизаторов D-Link DIR-2150 связана с обходом аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности с помощью специально созданного запроса

BDU:2023-03032Уязвимость реализации прикладного программного интерфейса микропрограммного обеспечения маршрутизаторов D-Link DIR-2150 связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности

BDU:2022-05911Уязвимость службы xupnpd микропрограммного обеспечения маршрутизаторов D-Link DIR-2150 связана с непринятием мер по очистке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды

BDU:2022-05909Уязвимость службы anweb микропрограммного обеспечения маршрутизаторов D-Link DIR-2150 связана с переполнением буфера на стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

BDU:2022-05907Уязвимость службы xupnpd микропрограммного обеспечения маршрутизаторов D-Link DIR-2150 связана с непринятием мер по очистке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды

BDU:2022-05906Уязвимость службы xupnpd микропрограммного обеспечения маршрутизаторов D-Link DIR-2150 связана с непринятием мер по очистке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды

BDU:2022-05905Уязвимость службы anweb микропрограммного обеспечения маршрутизаторов D-Link DIR-2150 связана с переполнением буфера на стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

CVE-2023-44415D-Link Multiple Routers cli Command Injection, позволяющее удаленно выполнить код. Эта уязвимость позволяет злоумышленникам, находящимся в той же сети, выполнять произвольный код на уязвимых установках маршрутизаторов D-Link DIR-1260 и DIR-2150. Для эксплуатации этой уязвимости требуется аутентификация. Конкретный недостаток существует в службе CLI, которая прослушивает TCP-порт 23. Проблема возникает из-за недостаточной проверки строки, предоставленной пользователем, перед ее использованием для выполнения системного вызова. Злоумышленник может воспользоваться этой уязвимостью для выполнения кода в контексте root. Was ZDI-CAN-19946.

CVE-2023-34281D-Link DIR-2150 GetFirmwareStatus Target Command Injection, уязвимость удаленного выполнения кода. Эта уязвимость позволяет злоумышленникам, находящимся в той же сети, выполнять произвольный код на затронутых установках маршрутизаторов D-Link DIR-2150. Хотя для эксплуатации этой уязвимости требуется аутентификация, существующий механизм аутентификации можно обойти. Конкретный недостаток существует в интерфейсе SOAP API, который прослушивает TCP-порт 80 по умолчанию. Проблема возникает из-за отсутствия надлежащей проверки строки, предоставленной пользователем, перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Was ZDI-CAN-20561.

CVE-2023-34280D-Link DIR-2150 SetSysEmailSettings EmailTo Command Injection, уязвимость удаленного выполнения кода. Эта уязвимость позволяет злоумышленникам, находящимся в той же сети, выполнять произвольный код на затронутых установках маршрутизаторов D-Link DIR-2150. Хотя для эксплуатации этой уязвимости требуется аутентификация, существующий механизм аутентификации можно обойти. Конкретный недостаток существует в интерфейсе SOAP API, который прослушивает TCP-порт 80 по умолчанию. Проблема возникает из-за отсутствия надлежащей проверки строки, предоставленной пользователем, перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Was ZDI-CAN-20559.

CVE-2023-34278D-Link DIR-2150 SetSysEmailSettings EmailFrom Command Injection, уязвимость удаленного выполнения кода. Эта уязвимость позволяет злоумышленникам, находящимся в той же сети, выполнять произвольный код на затронутых установках маршрутизаторов D-Link DIR-2150. Хотя для эксплуатации этой уязвимости требуется аутентификация, существующий механизм аутентификации можно обойти. Конкретный недостаток существует в интерфейсе SOAP API, который прослушивает TCP-порт 80 по умолчанию. Проблема возникает из-за отсутствия надлежащей проверки строки, предоставленной пользователем, перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Was ZDI-CAN-20556.

CVE-2023-34277D-Link DIR-2150 SetSysEmailSettings AccountName Command Injection, уязвимость удаленного выполнения кода. Эта уязвимость позволяет злоумышленникам, находящимся в той же сети, выполнять произвольный код на затронутых установках маршрутизаторов D-Link DIR-2150. Хотя для эксплуатации этой уязвимости требуется аутентификация, существующий механизм аутентификации можно обойти. Конкретный недостаток существует в интерфейсе SOAP API, который прослушивает TCP-порт 80 по умолчанию. Проблема возникает из-за отсутствия надлежащей проверки строки, предоставленной пользователем, перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Was ZDI-CAN-20555.

CVE-2023-34276D-Link DIR-2150 SetTriggerPPPoEValidate Username Command Injection, уязвимость удаленного выполнения кода. Эта уязвимость позволяет злоумышленникам, находящимся в той же сети, выполнять произвольный код на затронутых установках маршрутизаторов D-Link DIR-2150. Хотя для эксплуатации этой уязвимости требуется аутентификация, существующий механизм аутентификации можно обойти. Конкретный недостаток существует в интерфейсе SOAP API, который прослушивает TCP-порт 80 по умолчанию. Проблема возникает из-за отсутствия надлежащей проверки строки, предоставленной пользователем, перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Was ZDI-CAN-20554.

CVE-2023-34275D-Link DIR-2150 SetNTPServerSettings Внедрение команд, уязвимость удаленного выполнения кода. Эта уязвимость позволяет злоумышленникам, находящимся в той же сети, выполнять произвольный код на затронутых установках маршрутизаторов D-Link DIR-2150. Хотя для эксплуатации этой уязвимости требуется аутентификация, существующий механизм аутентификации можно обойти. Конкретный недостаток существует в интерфейсе SOAP API, который прослушивает TCP-порт 80 по умолчанию. Проблема возникает из-за отсутствия надлежащей проверки строки, предоставленной пользователем, перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Was ZDI-CAN-20553.

BDU:2023-06593Уязвимость службы CLI микропрограммного обеспечения маршрутизаторов D-Link DIR-2150, DIR-1260 связана с недостаточной проверкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Перейти к вендору →Открыть в каталоге с фильтром по продукту →