CVSS: 9.8EPSS: 0%CPEs: 2EXPL: 1CVE-2021-27114
https://notcve.org/view.php?id=CVE-2021-27114
An issue was discovered in D-Link DIR-816 A2 1.10 B05 devices. Within the handler function of the /goform/addassignment route, a very long text entry for the"'s_ip" and "s_mac" fields could lead to a Stack-Based Buffer Overflow and overwrite the return address. Se detectó un problema en los dispositivos D-Link DIR-816 A2 versión 1.10 B05. Dentro de la función handler de la ruta /goform/addassignment, una entrada de texto muy larga para los campos "'s_ip" y "s_mac" podría conllevar a un desbordamiento del búfer en la región stack de la memoria y sobrescribir la dirección de retorno • https://github.com/GD008/vuln/blob/main/DIR-816_stackoverflow.md https://www.dlink.com/en/security-bulletin • CWE-787: Out-of-bounds Write •
CVSS: 10.0EPSS: 1%CPEs: 2EXPL: 1CVE-2021-27113
https://notcve.org/view.php?id=CVE-2021-27113
An issue was discovered in D-Link DIR-816 A2 1.10 B05 devices. An HTTP request parameter is used in command string construction within the handler function of the /goform/addRouting route. This could lead to Command Injection via Shell Metacharacters. Se detectó un problema en los dispositivos D-Link DIR-816 A2 versión 1.10 B05. Un parámetro HTTP request es usada en la construcción de cadenas de comandos dentro de la función handler de la ruta /goform/addRouting. • https://github.com/GD008/vuln/blob/main/DIR-816_2.md https://www.dlink.com/en/security-bulletin • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 10.0EPSS: 0%CPEs: 2EXPL: 1CVE-2021-26810
https://notcve.org/view.php?id=CVE-2021-26810
D-link DIR-816 A2 v1.10 is affected by a remote code injection vulnerability. An HTTP request parameter can be used in command string construction in the handler function of the /goform/dir_setWanWifi, which can lead to command injection via shell metacharacters in the statuscheckpppoeuser parameter. D-link DIR-816 A2 versión v1.10 está afectado por una vulnerabilidad de inyección de código remoto. Se puede usar un parámetro de petición HTTP en la construcción de cadenas de comandos en la función del manejador de /goform/dir_setWanWifi, que puede conllevar a una inyección de comandos por medio de metacaracteres de shell en el parámetro statuscheckpppoeuser. • https://github.com/GD008/vuln/blob/main/DIR-816.md https://www.dlink.com/en/security-bulletin • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVSS: 7.5EPSS: 0%CPEs: 2EXPL: 1CVE-2019-17507
https://notcve.org/view.php?id=CVE-2019-17507
An issue was discovered on D-Link DIR-816 A1 1.06 devices. An attacker could access management pages of the router via a client that ignores the 'top.location.href = "/dir_login.asp"' line in a .asp file. This provides access to d_status.asp, version.asp, d_dhcptbl.asp, and d_acl.asp. Se detectó un problema en los dispositivos D-Link DIR-816 versión A1 1.06. Un atacante podría acceder a las páginas de administración del enrutador por medio de un cliente que ignora la línea 'top.location.href= "/dir_login.asp"' en un archivo .asp. • https://github.com/dahua966/Routers-vuls/tree/master/DIR-816 • CWE-20: Improper Input Validation •
CVSS: 7.5EPSS: 0%CPEs: 10EXPL: 2CVE-2019-7642
https://notcve.org/view.php?id=CVE-2019-7642
D-Link routers with the mydlink feature have some web interfaces without authentication requirements. An attacker can remotely obtain users' DNS query logs and login logs. Vulnerable targets include but are not limited to the latest firmware versions of DIR-817LW (A1-1.04), DIR-816L (B1-2.06), DIR-816 (B1-2.06?), DIR-850L (A1-1.09), and DIR-868L (A1-1.10). Los routers D-Link con la funcionalidad mydlink presentan algunas interfaces web sin requerimientos de autenticación. • https://github.com/xw77cve/CVE-2019-7642 https://github.com/xw77cve/CVE-2019-7642/blob/master/README.md • CWE-306: Missing Authentication for Critical Function •