Katalog CVE

CVE-2025-60675

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
1.32%

Percentyl 67 - wyżej niż 67% wszystkich znanych CVE

Streszczenie

W oprogramowaniu routera D-Link DIR-823G w wersji DIR823G_V1.0.2B05_20181207.bin wykryto podatność na wstrzykiwanie poleceń w plikach binarnych timelycheck i sysconf. Podatność wynika z braku sanityzacji pól konfiguracyjnych z pliku /tmp/new_qos.rule, które są łączone w ciągi poleceń i wykonywane przez funkcję system().

Ocena ryzyka

Atakujący z dostępem do zapisu pliku /tmp/new_qos.rule może wykonać dowolne polecenia na urządzeniu, co prowadzi do pełnego przejęcia kontroli nad routerem i potencjalnego naruszenia bezpieczeństwa sieci.

Rekomendacja

Należy natychmiast zaktualizować oprogramowanie routera do najnowszej dostępnej wersji lub zastosować obejście polegające na ograniczeniu dostępu do pliku /tmp/new_qos.rule oraz monitorowaniu jego modyfikacji.

Oryginalny opis (angielski, źródło NVD)

A command injection vulnerability exists in the D-Link DIR-823G router firmware DIR823G_V1.0.2B05_20181207.bin in the timelycheck and sysconf binaries, which process the /tmp/new_qos.rule configuration file. The vulnerability occurs because parsed fields from the configuration file are concatenated into command strings and executed via system() without any sanitization. An attacker with write access to /tmp/new_qos.rule can execute arbitrary commands on the device.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS