Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2024-7922

Опубликовано: 19 авг. 2024
Источник: nvd
CVSS3: 6.3
CVSS3: 9.8
CVSS2: 6.5
EPSS Средний

Описание

A vulnerability was found in D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 and DNS-1550-04 up to 20240814 and classified as critical. Affected by this issue is the function cgi_audio_search/cgi_create_playlist/cgi_get_album_all_tracks/cgi_get_alltracks_editlist/cgi_get_artist_all_album/cgi_get_genre_all_tracks/cgi_get_tracks_list/cgi_set_airplay_content/cgi_write_playlist of the file /cgi-bin/myMusic.cgi. The manipulation leads to command injection. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. NOTE: This vulnerability only affects products that are no longer supported by the maintainer. NOTE: Vendor was contacted early and confirmed that the product is end-of-life. It should be retired and replaced.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:dell:dns-120_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:dell:dns-120:-:*:*:*:*:*:*:*
Конфигурация 2

Одновременно

cpe:2.3:o:dell:dnr-202l_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:dell:dnr-202l:-:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

cpe:2.3:o:dell:dns-315l_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:dell:dns-315l:-:*:*:*:*:*:*:*
Конфигурация 4

Одновременно

cpe:2.3:o:dell:dns-320_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:dell:dns-320:-:*:*:*:*:*:*:*
Конфигурация 5

Одновременно

cpe:2.3:o:dell:dns-320l_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:dell:dns-320l:-:*:*:*:*:*:*:*
Конфигурация 6

Одновременно

cpe:2.3:o:dell:dns-320lw_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:dell:dns-320lw:-:*:*:*:*:*:*:*
Конфигурация 7

Одновременно

cpe:2.3:o:dell:dns-321_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:dell:dns-321:-:*:*:*:*:*:*:*
Конфигурация 8

Одновременно

cpe:2.3:o:dell:dnr-322l_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:dell:dnr-322l:-:*:*:*:*:*:*:*
Конфигурация 9

Одновременно

cpe:2.3:o:dell:dns-323_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:dell:dns-323:-:*:*:*:*:*:*:*
Конфигурация 10

Одновременно

cpe:2.3:o:dell:dns-325_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:dell:dns-325:-:*:*:*:*:*:*:*
Конфигурация 11

Одновременно

cpe:2.3:o:dell:dns-326_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:dell:dns-326:-:*:*:*:*:*:*:*
Конфигурация 12

Одновременно

cpe:2.3:o:dell:dns-327l_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:dell:dns-327l:-:*:*:*:*:*:*:*
Конфигурация 13

Одновременно

cpe:2.3:o:dell:dnr-326_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:dell:dnr-326:-:*:*:*:*:*:*:*
Конфигурация 14

Одновременно

cpe:2.3:o:dell:dns-340l_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:dell:dns-340l:-:*:*:*:*:*:*:*
Конфигурация 15

Одновременно

cpe:2.3:o:dell:dns-343_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:dell:dns-343:-:*:*:*:*:*:*:*
Конфигурация 16

Одновременно

cpe:2.3:o:dell:dns-345_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:dell:dns-345:-:*:*:*:*:*:*:*
Конфигурация 17

Одновременно

cpe:2.3:o:dell:dns-726-4_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:dell:dns-726-4:-:*:*:*:*:*:*:*
Конфигурация 18

Одновременно

cpe:2.3:o:dell:dns-1100-4_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:dell:dns-1100-4:-:*:*:*:*:*:*:*
Конфигурация 19

Одновременно

cpe:2.3:o:dell:dns-1200-05_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:dell:dns-1200-05:-:*:*:*:*:*:*:*
Конфигурация 20

Одновременно

cpe:2.3:o:dell:dns-1550-04_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:dell:dns-1550-04:-:*:*:*:*:*:*:*

EPSS

Процентиль: 95%
0.16661
Средний

6.3 Medium

CVSS3

9.8 Critical

CVSS3

6.5 Medium

CVSS2

Дефекты

CWE-77

Связанные уязвимости

github логотип

GHSA-6x2v-5hv4-7j4r

CVSS3: 6.3
github
больше 1 года назад

A vulnerability was found in D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 and DNS-1550-04 up to 20240814 and classified as critical. Affected by this issue is the function cgi_audio_search/cgi_create_playlist/cgi_get_album_all_tracks/cgi_get_alltracks_editlist/cgi_get_artist_all_album/cgi_get_genre_all_tracks/cgi_get_tracks_list/cgi_set_airplay_content/cgi_write_playlist of the file /cgi-bin/myMusic.cgi. The manipulation leads to command injection. The attack may be launched remotely. The exploit has been disclosed to the public and may be used. NOTE: This vulnerability only affects products that are no longer supported by the maintainer. NOTE: Vendor was contacted early and confirmed that the product is end-of-life. It should be retired and replaced.

fstec логотип

BDU:2024-07578

CVSS3: 8.8
fstec
почти 2 года назад

Уязвимость функций cgi_create_playlist() и cgi_get_tracks_list() (/cgi-bin/MyMusic.cgi) микропрограммного обеспечения устройств D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726 -4, DNS-1100-4, DNS-1200-05 и DNS-1550-04, позволяющая нарушителю выполнить произвольные команды

EPSS

Процентиль: 95%
0.16661
Средний

6.3 Medium

CVSS3

9.8 Critical

CVSS3

6.5 Medium

CVSS2

Дефекты

CWE-77