V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
bdu,nvd,anchore_overrides

D-Link

Уязвимости
3130
Эксплуатируемые
28
Критический
832
Высокий
1569

Топ продуктов

Dir-619l127Dir-605l123Dir-823g112Dap-2622109Dir 87889Dir-81682Dap-132574Dns-32074Dir-600l73Dir-816 Firmware73Di-800368Dir-605l Firmware67Dir-619l Firmware67Dns-32566Dir-823x64Dns-320lw64Dns-340l64Dir-823g Firmware63Dir-88263Dns-327l63

Топ уязвимостей

CVE-2018-25115Несколько маршрутизаторов D-Link серии DIR, включая DIR-110, DIR-412, DIR-600, DIR-610, DIR-615, DIR-645 и DIR-815 с прошивкой версии 1.03, содержат уязвимость в конечной точке service.cgi, позволяющую удаленным злоумышленникам выполнить произвольные системные команды без аутентификации. Эта уязвимость была впервые обнаружена Shadowserver Foundation 21 августа 2025 года. Злоумышленники могут воспользоваться этой уязвимостью, отправив специально сформированный HTTP POST-запрос, что приведет к выполнению команд с правами root и полной компрометации устройства [1]. Источники: - [1] https://github.com/Cr0n1c/dlink_shell_poc/blob/master/dlink_auth_rce
CVE-2015-2052Переполнение буфера на основе стека в DIR-645 Wired/Wireless Router Rev. Ax с прошивкой 1.04b12 и более ранних версий позволяет удаленным злоумышленникам выполнять произвольный код через длинную строку в действии GetDeviceSettings в интерфейсе HNAP.
CVE-2015-2050D-Link DAP-1320 Rev Ax с прошивкой до 1.21b05 позволяет злоумышленникам выполнять произвольные команды через неуказанные векторы.
CVE-2014-3936Переполнение буфера на основе стека в функции do_hnap в www/my_cgi.cgi в D-Link DSP-W215 (Rev. A1) с прошивкой 1.01b06 и более ранних версий, DIR-505 с прошивкой до 1.08b10 и DIR-505L с прошивкой 1.01 и более ранних версий позволяет удаленным злоумышленникам выполнять произвольный код через длинный заголовок Content-Length в действии GetDeviceSettings в запросе HNAP.
CVE-2013-6026Веб-интерфейс на маршрутизаторах D-Link DIR-100, DIR-120, DI-624S, DI-524UP, DI-604S, DI-604UP, DI-604+ и TM-G5240; маршрутизаторах Planex BRL-04R, BRL-04UR и BRL-04CW; и маршрутизаторах Alpha Networks позволяет удаленным злоумышленникам обходить аутентификацию и изменять настройки через User-Agent HTTP-заголовок xmlset_roodkcableoj28840ybtide, как это использовалось в дикой природе в октябре 2013 года.
CVE-2013-5946Функция runShellCmd в systemCheck.htm в D-Link DSR-150 с прошивкой до 1.08B44; DSR-150N с прошивкой до 1.05B64; DSR-250 и DSR-250N с прошивкой до 1.08B44; и DSR-500, DSR-500N, DSR-1000 и DSR-1000N с прошивкой до 1.08B77 позволяет удаленным злоумышленникам выполнять произвольные команды через метасимволы командной строки в разделе (1) "Ping or Trace an IP Address" или (2) "Perform a DNS Lookup".
CVE-2013-10069Веб-интерфейс нескольких маршрутизаторов D-Link, включая DIR-600 rev B (≤2.14b01) и DIR-300 rev B (≤2.13), содержит уязвимость типа OS command injection в файле command.php, который некорректно обрабатывает POST-параметр cmd. Злоумышленник может воспользоваться этой уязвимостью без аутентификации, чтобы запустить службу Telnet на указанном порту и получить интерактивный доступ к оболочке с правами root [1]. Уязвимость была обнаружена Михаэлем Месснером. Подробности об уязвимости и способах её эксплуатации можно найти в различных источниках, включая Exploit Database [2] и другие специализированные ресурсы [3][4]. Источники: - [1] https://raw.githubusercontent.com/rapid7/metasploit-framework/master/modules/auxiliary/admin/http/dlink_dir_300_600_exec_noauth.rb - [2] https://www.exploit-db.com/exploits/24453 - [3] https://web.archive.org/web/20150428184723/http://www.s3cur1ty.de/m1adv2013-003 - [4] https://www.vulncheck.com/advisories/dlink-devices-unauth-rce
CVE-2011-3992Переполнение буфера в функциональности SSH-сервера на D-Link DES-3800 с прошивкой до 4.50B052, DWL-2100AP с прошивкой до 2.50RC548 и DWL-3200AP с прошивкой до 2.55RC549 позволяет удаленным злоумышленникам выполнять произвольный код или вызвать отказ в обслуживании через неуказанные векторы.
CVE-2009-3347Переполнение буфера на беспроводном маршрутизаторе D-Link DIR-400 позволяет удаленным злоумышленникам выполнять произвольный код через неуказанные векторы, как продемонстрировано определенным модулем в VulnDisco Pack Professional 8.10 по 8.11. ПРИМЕЧАНИЕ: по состоянию на 20090917, это раскрытие не имеет действенной информации. Однако, поскольку автор VulnDisco Pack является надежным исследователем, проблеме присваивается идентификатор CVE для целей отслеживания.
CVE-2007-1435Переполнение буфера в D-Link TFTP Server 1.0 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (сбой) через длинные запросы (1) GET или (2) PUT, что вызывает повреждение памяти. ПРИМЕЧАНИЕ: происхождение этой информации неизвестно; детали получены исключительно из сторонней информации.
CVE-2006-6055Переполнение буфера на основе стека в A5AGU.SYS 1.0.1.41 для беспроводного адаптера D-Link DWL-G132 позволяет удаленным злоумышленникам выполнять произвольный код через запрос маячка 802.11 с длинным информационным элементом Rates (IE).
CVE-2003-1346Точка беспроводного доступа D-Link DWL-900AP+ 2.2, 2.3 и, возможно, 2.5 позволяет удаленным злоумышленникам устанавливать заводские настройки по умолчанию, обновляя прошивку с помощью AirPlus Access Point Manager.
CVE-2001-1220D-Link DWL-1000AP Firmware 3.2.28 #483 Wireless LAN Access Point хранит пароль администратора в виде открытого текста в базе данных управления (MIB) по умолчанию, что позволяет удаленным злоумышленникам получать права администратора.
BDU:2025-14651Уязвимость компонента Setting Handler микропрограммного обеспечения маршрутизаторов D-Link DSR-150, DSR-150N и DSR-250 связана с недостаточной защитой служебных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный доступ к устройствам путём отправки специально сформированного HTTP POST-запроса
BDU:2025-10679Уязвимость сценария service.cgi микропрограммного обеспечения маршрутизаторов D-Link DIR-110, DIR-412, DIR-600, DIR-610, DIR-615, DIR-645 и DIR-815 связана с непринятием мер по нейтрализации специальных элементов при обработке параметра EVENT=CHECKFW. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды путем отправки специально сформированных POST-запросов
BDU:2025-09595Уязвимость сценария command.php микропрограммного обеспечения маршрутизаторов D-Link DIR-300 и DIR-600 связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации и выполнить произвольные команды
BDU:2025-01828Уязвимость CGI-сценария VirtualServer.asp микропрограммного обеспечения маршрутизаторов D-Link DSL-3782 связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды путем отправки специально сформированных пакетов
BDU:2019-00970Уязвимость микропрограммного обеспечения маршрутизаторов D-Link DIR-823G существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные команды операционной системы
BDU:2019-00018Уязвимость микропрограммного обеспечения маршрутизаторов D-Link DIR-620 связана с использованием предустановленных регистрационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, повысить свои привилегии и выполнить произвольный код
BDU:2017-02064Уязвимость параметра cmd микропрограммного обеспечения маршрутизаторов D-Link DNS-320L, D-Link DNS-327L, D-Link DNR-326, D-Link DNS-320B, D-Link DNS-345, D-Link DNS-325, D-Link DNS-322L связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти процедуру аутентификации и получить права администратора, используя специально сформированную команду cgi_set_wto
BDU:2017-02063Уязвимость функции check_login микропрограммного обеспечения маршрутизатора D–Link DNR-326 связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти процедуру аутентификации и зарегистрироваться, используя параметр cookie имени пользователя
BDU:2017-01861Уязвимость микропрограммного обеспечения маршрутизатора DIR-615 Wireless N 300 связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти процедуру аутентификации при помощи модифицированного запроса POST к login.cgi
BDU:2015-10308Уязвимость микропрограммного обеспечения беспроводного маршрутизатора D-Link DIR-645 позволяет нарушителю, действующему удаленно, выполнить произвольный код
BDU:2015-10307Уязвимость HNAP интерфейса микропрограммного обеспечения беспроводного маршрутизатора D-Link DIR-645 связана с непринятием мер по нейтрализации специальных элементов, используемых в команде ОС. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2015-10306Уязвимость микропрограммного обеспечения беспроводной точки доступа D-Link DAP-1320 позволяет нарушителю, действующему удаленно, выполнить произвольный код
Открыть в каталоге с фильтром по вендору →