CVE-2022-34527
https://notcve.org/view.php?id=CVE-2022-34527
D-Link DSL-3782 v1.03 and below was discovered to contain a command injection vulnerability via the function byte_4C0160. Se ha detectado que D-Link DSL-3782 versiones v1.03 y anteriores, contienen una vulnerabilidad de inyección de comandos por medio de la función byte_4C0160 • https://github.com/1160300418/Vuls/blob/main/D-Link/DSL-3782/CMDi_in_D-Link%20DSL-3782.md https://www.dlink.com/en/security-bulletin • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVE-2021-40284
https://notcve.org/view.php?id=CVE-2021-40284
D-Link DSL-3782 EU v1.01:EU v1.03 is affected by a buffer overflow which can cause a denial of service. This vulnerability exists in the web interface "/cgi-bin/New_GUI/Igmp.asp". Authenticated remote attackers can trigger this vulnerability by sending a long string in parameter 'igmpsnoopEnable' via an HTTP request. D-Link DSL-3782 versiones EU v1.01:EU v1.03, está afectado por un desbordamiento de búfer que puede causar una denegación de servicio. Esta vulnerabilidad se presenta en la interfaz web "/cgi-bin/New_GUI/Igmp.asp". • https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10245 https://www.dlink.com/en/security-bulletin • CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') •
CVE-2018-17990
https://notcve.org/view.php?id=CVE-2018-17990
An issue was discovered on D-Link DSL-3782 devices with firmware 1.01. An OS command injection vulnerability in Acl.asp allows a remote authenticated attacker to execute arbitrary OS commands via the ScrIPaddrEndTXT parameter. Se ha descubierto un problema en dispositivos D-Link DSL-3782 con la versión de firmware 1.01. Una vulnerabilidad de inyección de comandos del sistema operativo en Acl.asp permite a un atacante remoto autenticado ejecutar comandos arbitrarios del sistema operativo mediante el parámetro ScrIPaddrEndTXT • https://c0mix.github.io/2019/D-Link-DIR-3782-SecAdvisory-OS-Command-Injection-and-Stored-XSS • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVE-2018-17989
https://notcve.org/view.php?id=CVE-2018-17989
A stored XSS vulnerability exists in the web interface on D-Link DSL-3782 devices with firmware 1.01 that allows authenticated attackers to inject a JavaScript or HTML payload inside the ACL page. The injected payload would be executed in a user's browser when "/cgi-bin/New_GUI/Acl.asp" is requested. Existe una vulnerabilidad de Cross-Site Scripting persistente en la interfaz web de los dispositivos DSL-3782 de D-Link, con la versión de firmware 1.01, que permite a los atacantes autenticados inyectar código JavaScript o cargas útiles de HTML dentro de la página ACL. La carga útil inyectada se ejecutaría en el navegador de un usuario cuando se solicita "/cgi-bin/New_GUI/Acl.asp". • https://c0mix.github.io/2019/D-Link-DIR-3782-SecAdvisory-OS-Command-Injection-and-Stored-XSS • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2018-8898 – D-Link DSL-3782 - Authentication Bypass
https://notcve.org/view.php?id=CVE-2018-8898
A flaw in the authentication mechanism in the Login Panel of router D-Link DSL-3782 (A1_WI_20170303 || SWVer="V100R001B012" FWVer="3.10.0.24" FirmVer="TT_77616E6771696F6E67") allows unauthenticated attackers to perform arbitrary modification (read, write) to passwords and configurations meanwhile an administrator is logged into the web panel. Un error en el mecanismo de autenticación en el panel de inicio de sesión del router D-Link DSL-3782 (A1_WI_20170303 || SWVer="V100R001B012" FWVer="3.10.0.24" FirmVer="TT_77616E6771696F6E67") permite que atacantes no autenticados realicen la modificación arbitraria (lectura, escritura) de contraseñas y configuraciones mientras un administrador tiene su sesión iniciada en el panel web. D-Link DSL-3782 suffers from an authentication bypass vulnerability. • https://www.exploit-db.com/exploits/44657 http://packetstormsecurity.com/files/147708/D-Link-DSL-3782-Authentication-Bypass.html • CWE-287: Improper Authentication •