CVE-2025-55583

Опубликовано: 28 авг. 2025

Источник: nvd

CVSS3: 9.8

EPSS Низкий

Описание

D-Link DIR-868L B1 router firmware version FW2.05WWB02 contains an unauthenticated OS command injection vulnerability in the fileaccess.cgi component. The endpoint /dws/api/UploadFile accepts a pre_api_arg parameter that is passed directly to system-level shell execution functions without sanitization or authentication. Remote attackers can exploit this to execute arbitrary commands as root via crafted HTTP requests.

Ссылки

https://cybermaya.in/posts/Post-44/
Exploit
Third Party Advisory
https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10397
Product
https://www.dlink.com/en/security-bulletin/
Not Applicable
https://cybermaya.in/posts/Post-44/
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одновременно

cpe:2.3:o:dlink:dir-868l_firmware:2.05b02:*:*:*:*:*:*:*

cpe:2.3:h:dlink:dir-868l:b1:*:*:*:*:*:*:*

EPSS

Процентиль: 81%

0.01496

Низкий

9.8 Critical

CVSS3

Дефекты

CWE-78

Связанные уязвимости

GHSA-jpv7-g9gx-62x7

CVSS3: 9.8

github

5 месяцев назад

BDU:2025-12546

CVSS3: 9.8

fstec

6 месяцев назад

Уязвимость компонента fileaccess.cgi микропрограммного обеспечения маршрутизатора D-Link DIR-868L, позволяющая нарушителю выполнить произвольные команды

EPSS

Процентиль: 81%

0.01496

Низкий

9.8 Critical

CVSS3

Дефекты

CWE-78