| タイトル | D-Link DNS 320/320L/321/323/325/327L Command Injection |
|---|
| 説明 | The DLINK nas DNS-320/320L/321/323/325/327L all firmware version has a command injection vulnerability in cgi_create_playlist function of the file /cgi-bin/myMusic.cgi. The variable artistis passed from a POST request and is assigned to v14 via the sprintf function at line 89 and invoked by the system command, the SpecSymbol2BackSlash function did not work which leads to command execution. |
|---|
| ソース | ⚠️ https://github.com/BuaaIOTTeam/Iot_Dlink_NAS/blob/main/DNS_cgi_create_playlist.md |
|---|
| ユーザー | BuaaI0TTeam (UID 73421) |
|---|
| 送信 | 2024年08月15日 09:58 (2 年 ago) |
|---|
| モデレーション | 2024年08月19日 11:44 (4 days later) |
|---|
| ステータス | 承諾済み |
|---|
| VulDBエントリ | 275108 [D-Link DNS-1550-04 迄 20240814 /cgi-bin/myMusic.cgi 特権昇格] |
|---|
| ポイント | 20 |
|---|