Dir-823x
Уязвимости
64
Эксплуатируемые
1
Макс. CVSS
9.8
Макс. EPSS
0.3515
Распределение по критичности
Критический
5
Высокий
28
Средний
14
Низкий
17
Также сопоставлено как (исходные строки): dir-823x,dir-823x_firmware
Топ уязвимостей
CVE-2025-29043Уязвимость в Dlink DIR 832x 240802 позволяет удаленному злоумышленнику выполнить произвольный код через функцию 0x417234 [1].
Уязвимость была обнаружена в прошивке Dlink DIR 823x. Злоумышленник может эксплуатировать уязвимость путем отправки специально сформированного запроса к устройству [2].
Ссылки:
- [1] https://www.dlink.com/en/security-bulletin/
- [2] https://github.com/xyqer1/Dlink-dir-823x-diag_traceroute-target_addr-CommandInjection
- [3] https://gist.github.com/xyqer1/d5a5b18743b7a2fcbc0f93001d8e2ad9
CVE-2025-29042Проблема в Dlink DIR 832x версии 240802 позволяет удаленному злоумышленнику выполнить произвольный код через значение ключа macaddr в функции 0x42232c. Уязвимость была обнаружена в функции 0x42232c, где отсутствует проверка длины строки, что приводит к возможности выполнения команд операционной системы. Атакующий может использовать эту уязвимость, отправив специально сформированный запрос [1][2]. Источники:
- [1] https://www.dlink.com/en/security-bulletin/
- [2] https://github.com/xyqer1/Dlink-dir-823x-set_prohibiting-macaddr-CommandInjection
- [3] https://gist.github.com/xyqer1/841e78a3c4029808dac8c439595a1358
CVE-2025-29041Уязвимость в dlink DIR 823x 240802 позволяет удаленному злоумышленнику выполнить произвольный код через значение ключа target_addr и функцию 0x41710c [1].
Затронутая версия: 240802
Источники:
- [1] https://www.dlink.com/en/security-bulletin/
- [2] https://github.com/xyqer1/Dlink-dir-823x-diag_nslookup-target_addr-CommandInjection
- [3] https://gist.github.com/xyqer1/101b7308bdf8618d8be30bd1d09ddd38
CVE-2025-29040Уязвимость в Dlink DIR 823x 240802 позволяет удаленному злоумышленнику выполнить произвольный код через значение ключа target_addr и функцию 0x41737c [1].
Во время стажировки в Qi An Xin Tiangong Lab была обнаружена уязвимость внедрения команды в маршрутизаторе Dlink-dir-823x. При анализе файла webs в каталоге bin было обнаружено, что функция 0x41737c содержит уязвимость внедрения команды. Внедрение команды может быть вызвано значением ключа target_addr, что приводит к внедрению системной команды [2].
Источники:
- [1] https://www.dlink.com/en/security-bulletin/
- [2] https://github.com/xyqer1/Dlink-dir-823x-diag_ping-target_addr-CommandInjection
- [3] https://gist.github.com/xyqer1/b3bebe4967a3093951273738f0be45ce
CVE-2024-39962Обнаружено, что D-Link DIR-823X AX3000 Dual-Band Gigabit Wireless Router v21_D240126 содержит уязвимость удаленного выполнения кода (RCE) в параметре ntp_zone_val в /goform/set_ntp. Эта уязвимость эксплуатируется через специально созданный HTTP-запрос.
CVE-2025-55848В прошивке DIR-823 версии 20250416 обнаружена уязвимость RCE в интерфейсе set_cassword, так как параметр http_casswd не фильтруется по символу '&', что позволяет внедрить команды обратного подключения [1].
Источники:
- [1] https://github.com/meigui637/iot_zone/blob/main/%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E.md
BDU:2025-12545Уязвимость функции set_cassword() микропрограммного обеспечения маршрутизаторов D-Link DIR-823X связана с непринятием мер по чистке данных на управляющем уровне при обработке параметра http_casswd. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды
BDU:2025-12537Уязвимость функции sub_412E7C() файла /usr/sbin/goahead микропрограммного обеспечения маршрутизаторов D-Link DIR-823X связана с непринятием мер по очистке данных на управляющем уровне. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды путем отправки специально сформированного запроса
CVE-2025-0492Уязвимость была обнаружена в D-Link DIR-823X 240126/240802 и классифицирована как критическая. Функция FUN_00412244 подвержена этой уязвимости. Манипуляция приводит к разыменованию нулевого указателя. Атаку можно запустить удаленно. Эксплойт был обнародован и может быть использован.
BDU:2025-02213Уязвимость функции FUN_00412244() микропрограммного обеспечения маршрутизаторов D-link DIR-823X связана с разыменованием указателей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
CVE-2026-2210Уязвимость была обнаружена в D-Link DIR-823X 250416. Это влияет на функцию sub_4211C8 файла /goform/set_filtering. Такая манипуляция приводит к командной инъекции. Атака может быть запущена дистанционно. Эксплойт был раскрыт общественности и может быть использован.
CVE-2026-2175Слабость была выявлена в D-Link DIR-823X 250416. Эта уязвимость влияет на функцию sub_420618 файла /goform/set_upnp. Эта манипуляция аргументом upnp_enable вызывает инъекцию команды. Удаленное использование атаки возможно. Эксплойт был доступен для общественности и может быть использован для нападений.
CVE-2026-2157Уязвимость безопасности была обнаружена в D-Link DIR-823X 250416. Это влияет на функцию sub_4175CC файла /goform/set_static_route_table. Такое манипулирование интерфейсом аргумента/дестепь/нетмаска/шлюз/метрика приводит к вводу командной инъекции os. Атака может быть выполнена с удаленности. Эксплойт был раскрыт публично и может быть использован.
CVE-2026-2155Недостаток безопасности был обнаружен в D-Link DIR-823X 250416. Пораженный элемент представляет собой функцию sub_4208A0 файла /goform/set_dmz компонента Обработчик конфигурации. Манипуляция аргументом dmz_host/dmz_enable приводит к командной инъекции os. Нападение может быть выполнено дистанционно. Эксплойт был обнародован и может быть использован для атак.
CVE-2026-2143Уязвимость безопасности была обнаружена в D-Link DIR-823X 250416. Эта проблема затрагивает некоторую неизвестную обработку файла /goform/set_ddns компонента DDNS Service. Манипуляции с аргументом ddnType/ddnsDomainName/dnsUserName/ddnsPwd приводят к вводу командной инъекции. Атака возможна дистанционно. Эксплойт был раскрыт публично и может быть использован.
CVE-2026-2142Слабость выявлена в D-Link DIR-823X 250416. Эта уязвимость затрагивает функцию sub_42068 файла /goform/set_qos. Выполнение манипуляции может привести к вводу в команду. Нападение может быть выполнено дистанционно. Эксплойт был доступен для общественности и может быть использован для нападений.
CVE-2026-2129Уязвимость была обнаружена в D-Link DIR-823X 250416. От этой проблемы затронуты некоторые неизвестные функциональные возможности файла /goform/set_ac_status. Выполнение манипуляций с аргументом ac_ipaddr/ac_ipstatus/ap_randtime приводит к командной инъекции os. Атака может быть инициирована дистанционно. Эксплойт был обнародован и может быть использован.
CVE-2026-2120Уязвимость была выявлена в D-Link DIR-823X 250416. Это влияет на неизвестную функцию файла /goform/set_server_settings компонента Configuration Parameter Handler. Манипуляции с аргументом terminal_addr/server_ip/server_port приводит к инъекции командной команды os. Атака может быть инициирована дистанционно. Эксплойт является общедоступным и может быть использован.
CVE-2026-2084Слабость выявлена в D-Link DIR-823X 250416. Это влияет на неизвестную функцию файла /goform/set_language. Выполнение манипуляций с аргументом langSelection может привести к инъекции командного ввода os. Можно запустить атаку удаленно. Эксплойт был доступен для общественности и может быть использован для нападений.
BDU:2026-00682Уязвимость функции sub_412E7C() микропрограммного обеспечения маршрутизаторов D-link DIR-823X связана с непринятием мер по нейтрализации специальных элементов при обработке параметра wd_enable. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды
BDU:2025-11534Уязвимость функции sub_415028 файла goform/set_static_leases микропрограммного обеспечения маршурутизатора D-Link DIR-823X связана с непринятием мер по очистке данных на управляющем уровне при обработке параметра Hostname. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды путем отправки специально сформированного запроса
CVE-2025-29635Уязвимость инъекции команд в D-Link DIR-823X 240126 и 240802 позволяет авторизованному злоумышленнику выполнять произвольные команды на удаленных устройствах, отправляя POST-запрос на /goform/set_prohibiting через соответствующую функцию, вызывая удаленное выполнение команд.
CVE-2025-29039В Dlink DIR 832x версии 240802 обнаружена уязвимость, позволяющая удаленному злоумышленнику выполнить произвольный код через функцию 0x41dda8. Уязвимость связана с command injection и может быть эксплуатирована без аутентификации [1].
Источники:
- [1] https://github.com/xyqer1/Dlink-dir-823x-set_ntp-year-CommandInjection
BDU:2026-02476Уязвимость функции sub_420618 файла /goform/set_upnp микропрограммного обеспечения маршрутизаторов D-link DIR-823X связана с непринятием мер по нейтрализации специальных элементов при обработке параметра upnp_enable. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды путем отправки специально сформированного запроса
BDU:2026-02472Уязвимость файла /goform/set_ac_status микропрограммного обеспечения маршрутизаторов D-link DIR-823X связана с непринятием мер по нейтрализации специальных элементов при обработке параметра ac_ipaddr/ac_ipstatus/ap_randtime. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды путем отправки специально сформированного запроса