| タイトル | Dlink Dlink DNS 320/320L/321/323/325/327L <=v1.1 Command Injection |
|---|
| 説明 | The DLINK nas DNS-320/320L/321/323/325/327L all firmware version has a command injection vulnerability in cgi_photo_search function of the file /cgi-bin/photocenter_mgr.cgi. The variable filter is passed from a POST request and is assigned to v6 via the sprintf function at line 64 and invoked by the system command, the SpecSymbol2BackSlash function did not work which leads to command execution. |
|---|
| ソース | ⚠️ https://github.com/BuaaIOTTeam/Iot_Dlink_NAS/blob/main/DNS_cgi_photo_search.md |
|---|
| ユーザー | BuaaIoTTeam (UID 73348) |
|---|
| 送信 | 2024年08月12日 04:47 (2 年 ago) |
|---|
| モデレーション | 2024年08月13日 08:17 (1 day later) |
|---|
| ステータス | 承諾済み |
|---|
| VulDBエントリ | 274281 [D-Link DNS-1550-04 迄 20240812 photocenter_mgr.cgi sprintf filter 特権昇格] |
|---|
| ポイント | 20 |
|---|