CVE-2021-46441
https://notcve.org/view.php?id=CVE-2021-46441
In the "webupg" binary of D-Link DIR-825 G1, because of the lack of parameter verification, attackers can use "cmd" parameters to execute arbitrary system commands after obtaining authorization. En el binario "webupg" de D-Link DIR-825 G1, debido a una falta de verificación de los parámetros, los atacantes pueden usar los parámetros "cmd" para ejecutar comandos arbitrarios del sistema después de obtener la autorización • https://github.com/tgp-top/D-Link-DIR-825 https://www.dlink.com/en/security-bulletin • CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') •
CVE-2021-46442
https://notcve.org/view.php?id=CVE-2021-46442
In the "webupg" binary of D-Link DIR-825 G1, attackers can bypass authentication through parameters "autoupgrade.asp", and perform functions such as downloading configuration files and updating firmware without authorization. En el binario "webupg" del D-Link DIR-825 G1, los atacantes pueden omitir la autenticación mediante los parámetros "autoupgrade.asp", y llevar a cabo funciones como la descarga de archivos de configuración y la actualización del firmware sin autorización • https://github.com/tgp-top/D-Link-DIR-825 https://www.dlink.com/en/security-bulletin •