一、 漏洞 CVE-2025-10440 基础信息
漏洞信息
                                        # D-Link 系统命令注入漏洞

## 概述

D-Link 多款路由器(DI-8100、DI-8100G、DI-8200、DI-8200G、DI-8003 和 DI-8003G)在其固件版本 16.07.26A1、17.12.20A1 和 19.12.10A1 中存在 OS 命令注入漏洞。

## 影响版本

- **固件版本**:16.07.26A1、17.12.20A1、19.12.10A1
- **受影响设备型号**:DI-8100、DI-8100G、DI-8200、DI-8200G、DI-8003、DI-8003G

## 细节

- **受影响组件**:`jhttpd`
- **漏洞文件**:`usb_paswd.asp`
- **漏洞函数**:`sub_4621DC`
- **漏洞类型**:OS 命令注入(OS Command Injection)
- **攻击参数**:`hname`
- **攻击方式**:攻击者可通过远程操控 `hname` 参数向系统注入恶意 OS 命令。

## 影响

- **攻击来源**:远程攻击者
- **利用情况**:漏洞已被公开,且存在被利用的可能。
- **潜在影响**:攻击者可执行任意操作系统命令,可能导致系统控制权丧失、信息泄露或服务中断。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
D-Link DI-8100/DI-8100G/DI-8200/DI-8200G/DI-8003/DI-8003G jhttpd usb_paswd.asp sub_4621DC os command injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability has been found in D-Link DI-8100, DI-8100G, DI-8200, DI-8200G, DI-8003 and DI-8003G 16.07.26A1/17.12.20A1/19.12.10A1. Affected by this vulnerability is the function sub_4621DC of the file usb_paswd.asp of the component jhttpd. The manipulation of the argument hname leads to os command injection. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
D-Link多款产品 操作系统命令注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
D-Link DI-8100等都是中国友讯(D-Link)公司的产品。D-Link DI-8100是一款专为中小型网络环境设计的无线宽带路由器。D-Link DI-8100G是一个千兆上网行为管理认证路由器。D-Link DI-8200是一款企业级路由器。 D-Link多款产品存在操作系统命令注入漏洞,该漏洞源于对文件usb_paswd.asp中参数hname的错误操作,可能导致os命令注入攻击。以下产品和版本受到影响:D-Link DI-8100、DI-8100G、DI-8200、DI-8200G、DI
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-10440 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-10440 的情报信息
四、漏洞 CVE-2025-10440 的评论

暂无评论

发表评论