CVSS: 10.0EPSS: 1%CPEs: 2EXPL: 1CVE-2021-27113
https://notcve.org/view.php?id=CVE-2021-27113
An issue was discovered in D-Link DIR-816 A2 1.10 B05 devices. An HTTP request parameter is used in command string construction within the handler function of the /goform/addRouting route. This could lead to Command Injection via Shell Metacharacters. Se detectó un problema en los dispositivos D-Link DIR-816 A2 versión 1.10 B05. Un parámetro HTTP request es usada en la construcción de cadenas de comandos dentro de la función handler de la ruta /goform/addRouting. • https://github.com/GD008/vuln/blob/main/DIR-816_2.md https://www.dlink.com/en/security-bulletin • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 10.0EPSS: 0%CPEs: 2EXPL: 1CVE-2021-26810
https://notcve.org/view.php?id=CVE-2021-26810
D-link DIR-816 A2 v1.10 is affected by a remote code injection vulnerability. An HTTP request parameter can be used in command string construction in the handler function of the /goform/dir_setWanWifi, which can lead to command injection via shell metacharacters in the statuscheckpppoeuser parameter. D-link DIR-816 A2 versión v1.10 está afectado por una vulnerabilidad de inyección de código remoto. Se puede usar un parámetro de petición HTTP en la construcción de cadenas de comandos en la función del manejador de /goform/dir_setWanWifi, que puede conllevar a una inyección de comandos por medio de metacaracteres de shell en el parámetro statuscheckpppoeuser. • https://github.com/GD008/vuln/blob/main/DIR-816.md https://www.dlink.com/en/security-bulletin • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 7.5EPSS: 0%CPEs: 10EXPL: 2CVE-2019-7642
https://notcve.org/view.php?id=CVE-2019-7642
D-Link routers with the mydlink feature have some web interfaces without authentication requirements. An attacker can remotely obtain users' DNS query logs and login logs. Vulnerable targets include but are not limited to the latest firmware versions of DIR-817LW (A1-1.04), DIR-816L (B1-2.06), DIR-816 (B1-2.06?), DIR-850L (A1-1.09), and DIR-868L (A1-1.10). Los routers D-Link con la funcionalidad mydlink presentan algunas interfaces web sin requerimientos de autenticación. • https://github.com/xw77cve/CVE-2019-7642 https://github.com/xw77cve/CVE-2019-7642/blob/master/README.md • CWE-306: Missing Authentication for Critical Function •
CVSS: 7.8EPSS: 0%CPEs: 2EXPL: 1CVE-2019-10042
https://notcve.org/view.php?id=CVE-2019-10042
The D-Link DIR-816 A2 1.11 router only checks the random token when authorizing a goform request. An attacker can get this token from dir_login.asp and use an API URL /goform/LoadDefaultSettings to reset the router without authentication. El router D-Link DIR-816 A2 1.11 solo comprueba el token aleatorio cuando autoriza una petición goform. Un atacante puede obtener este token desde dir_login.asp y usar una URL de la API /goform/ LoadDefaultSettings para restablecer el router sin autenticación. • https://github.com/PAGalaxyLab/VulInfo/blob/master/D-Link/DIR-816/reset_router/README.md • CWE-306: Missing Authentication for Critical Function •
CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 1CVE-2019-10041
https://notcve.org/view.php?id=CVE-2019-10041
The D-Link DIR-816 A2 1.11 router only checks the random token when authorizing a goform request. An attacker can get this token from dir_login.asp and use an API URL /goform/form2userconfig.cgi to edit the system account without authentication. El router D-Link DIR-816 A2 1.11 solo comprueba el token aleatorio cuando autoriza una petición goform. Un atacante puede obtener este token desde dir_login.asp y usar una URL de la API /goform/ form2userconfig.cgi para editar la cuenta de sistema sin autenticación. • https://github.com/PAGalaxyLab/VulInfo/blob/master/D-Link/DIR-816/edit_sys_account/README.md • CWE-306: Missing Authentication for Critical Function •