Interfejs webowy routerów D-Link DIR-600 rev B (≤2.14b01) oraz DIR-300 rev B (≤2.13) zawiera podatność na nieuwierzytelniony OS command injection w pliku command.php. Atakujący zdalnie, bez żadnego uwierzytelnienia, może przejąć pełną kontrolę nad urządzeniem z uprawnieniami root.
▸ Pokaż oryginał (EN)
The web interface of multiple D-Link routers, including DIR-600 rev B (≤2.14b01) and DIR-300 rev B (≤2.13), contains an unauthenticated OS command injection vulnerability in command.php, which improperly handles the cmd POST parameter. A remote attacker can exploit this flaw without authentication to spawn a Telnet service on a specified port, enabling persistent interactive shell access as root.
Podatność wynika z nieprawidłowej obsługi parametru POST o nazwie 'cmd' w pliku command.php — dane wejściowe użytkownika są przekazywane bezpośrednio do wywołania systemowego bez odpowiedniej walidacji ani sanityzacji (CWE-78). Atakujący może spreparować odpowiednie żądanie HTTP i wstrzyknąć dowolne polecenie systemu operacyjnego. Opisanym przykładem exploitacji jest uruchomienie usługi Telnet na wskazanym porcie, co zapewnia trwały, interaktywny dostęp do powłoki systemowej z uprawnieniami root.
Atakujący uzyskuje pełny, trwały dostęp do powłoki systemu operacyjnego z uprawnieniami root bez konieczności posiadania jakichkolwiek poświadczeń, co umożliwia całkowite przejęcie urządzenia, modyfikację jego konfiguracji oraz dalszy lateral movement w sieci.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Ze względu na wiek urządzeń i brak aktywnego wsparcia producenta, zaleca się rozważenie wymiany sprzętu na nowszy model objęty wsparciem. Jako doraźne obejście należy zablokować dostęp do interfejsu webowego routera z sieci zewnętrznych oraz ograniczyć dostęp lokalny wyłącznie do zaufanych hostów za pomocą firewall.
D-Link DIR-600 rev B w wersji firmware ≤2.14b01 oraz D-Link DIR-300 rev B w wersji firmware ≤2.13
Dla tej podatności istnieje publicznie dostępny exploit w bazie Exploit-DB (ID: 24453) oraz moduł pomocniczy w frameworku Metasploit (dlink_dir_300_600_exec_noauth). Podatność została pierwotnie ujawniona w 2013 roku (oznaczenie m1adv2013-003), natomiast formalne CVE zostało opublikowane 2025-08-05.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XDlink Dir 300
HWDlinkbDlink Dir 300 Firmware
OSDlink≤ 2.13Dlink Dir 600
HWDlinkbDlink Dir 600 Firmware
OSDlink≤ 2.14b01
Powiązane podatności
D-Link DIR-series — nieuwierzytelniony command injection w service.cgi (root RCE)
D-Link DIR-300/DIR-600: nieuwierzytelniony command injection z uprawnieniami root
D-Link DIR-300: zakodowane na stałe dane uwierzytelniające w usłudze Telnet
D-Link DIR-600 Hardware Version B5, Firmware Version 2.18 was discovered to contain a command injection vulner...
D-Link DIR-600 Hardware Version B5, Firmware Version 2.18 was discovered to contain a stack overflow via the g...