CVSS: 10.0EPSS: 0%CPEs: 2EXPL: 1CVE-2021-21913
https://notcve.org/view.php?id=CVE-2021-21913
An information disclosure vulnerability exists in the WiFi Smart Mesh functionality of D-LINK DIR-3040 1.13B03. A specially-crafted network request can lead to command execution. An attacker can connect to the MQTT service to trigger this vulnerability. Se presenta una vulnerabilidad de divulgación de información en la funcionalidad WiFi Smart Mesh de D-LINK DIR-3040 versión 1.13B03. Una petición de red especialmente diseñada puede conllevar a una ejecución de un comando. • https://talosintelligence.com/vulnerability_reports/TALOS-2021-1361 • CWE-798: Use of Hard-coded Credentials •
CVSS: 6.8EPSS: 0%CPEs: 3EXPL: 0CVE-2021-40284
https://notcve.org/view.php?id=CVE-2021-40284
D-Link DSL-3782 EU v1.01:EU v1.03 is affected by a buffer overflow which can cause a denial of service. This vulnerability exists in the web interface "/cgi-bin/New_GUI/Igmp.asp". Authenticated remote attackers can trigger this vulnerability by sending a long string in parameter 'igmpsnoopEnable' via an HTTP request. D-Link DSL-3782 versiones EU v1.01:EU v1.03, está afectado por un desbordamiento de búfer que puede causar una denegación de servicio. Esta vulnerabilidad se presenta en la interfaz web "/cgi-bin/New_GUI/Igmp.asp". • https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10245 https://www.dlink.com/en/security-bulletin • CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow') •
CVSS: 9.8EPSS: 4%CPEs: 2EXPL: 1CVE-2021-39510
https://notcve.org/view.php?id=CVE-2021-39510
An issue was discovered in D-Link DIR816_A1_FW101CNB04 750m11ac wireless router, The HTTP request parameter is used in the handler function of /goform/form2userconfig.cgi route, which can construct the user name string to delete the user function. This can lead to command injection through shell metacharacters. Se ha descubierto un problema en el router inalámbrico D-Link DIR816_A1_FW101CNB04 750m11ac, El parámetro de solicitud HTTP se utiliza en la función de manejador de la ruta /goform/form2userconfig.cgi, que puede construir la cadena de nombre de usuario para eliminar la función de usuario. Esto puede conducir a la inyección de comandos a través de metacaracteres del shell • https://github.com/doudoudedi/main-DIR-816_A1_Command-injection https://github.com/doudoudedi/main-DIR-816_A1_Command-injection/blob/main/injection_A1.md https://www.dlink.com/en/security-bulletin • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 9.8EPSS: 4%CPEs: 2EXPL: 1CVE-2021-39509
https://notcve.org/view.php?id=CVE-2021-39509
An issue was discovered in D-Link DIR-816 DIR-816A2_FWv1.10CNB05_R1B011D88210 The HTTP request parameter is used in the handler function of /goform/form2userconfig.cgi route, which can construct the user name string to delete the user function. This can lead to command injection through shell metacharacters. Se ha descubierto un problema en D-Link DIR-816 DIR-816A2_FWv1.10CNB05_R1B011D88210 El parámetro de solicitud HTTP se utiliza en la función del manejador de la ruta /goform/form2userconfig.cgi, que puede construir la cadena de nombre de usuario para eliminar la función de usuario. Esto puede llevar a la inyección de comandos a través de metacaracteres del shell • https://github.com/doudoudedi/main-DIR-816_A2_Command-injection https://github.com/doudoudedi/main-DIR-816_A2_Command-injection/blob/main/injection.md https://www.dlink.com/en/security-bulletin • CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') •
CVSS: 10.0EPSS: 0%CPEs: 2EXPL: 1CVE-2021-39615
https://notcve.org/view.php?id=CVE-2021-39615
D-Link DSR-500N version 1.02 contains hard-coded credentials for undocumented user accounts in the '/etc/passwd' file.If an attacker succeeds in recovering the cleartext password of the identified hash value, he will be able to log in via SSH or Telnet and thus gain access to the underlying embedded Linux operating system on the device. Fixed in version 2.12/2. NOTE: This vulnerability only affects products that are no longer supported by the maintainer D-Link DSR-500N versión 1.02, contiene credenciales embebidas para cuentas de usuario no documentadas en el archivo "/etc/passwd".Si un atacante logra recuperar la contraseña en texto sin cifrar del valor hash identificado, podrá iniciar sesión por SSH o Telnet y, por lo tanto, conseguir acceso al sistema operativo Linux incorporado subyacente en el dispositivo. Corregido en la versión 2.12/2. NOTA: Esta vulnerabilidad sólo afecta a los productos que ya no son compatibles por el mantenedor. • https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10235 https://www.dlink.com/en/security-bulletin https://www.nussko.com/advisories/advisory-2021-08-02.txt • CWE-798: Use of Hard-coded Credentials •