一、 漏洞 CVE-2025-14225 基础信息
漏洞信息
# D-Link DCS-930L 命令注入漏洞
## 概述
在 D-Link DCS-930L 版本 1.15.04 中发现一个命令注入漏洞。
## 影响版本
- **产品**:D-Link DCS-930L
- **受影响版本**:1.15.04
- **受影响组件**:`alphapd` 组件中的 `/setSystemAdmin` 文件
- **状态**:仅影响已不再受支持的产品
## 细节
- **漏洞触发点**:通过操纵 `AdminID` 参数
- **攻击类型**:命令注入(Command Injection)
- **攻击方式**:远程攻击者可执行恶意操作
- **可利用性**:漏洞已被公开披露,并可能被主动利用
## 影响
- 允许远程攻击者通过精心构造的请求注入并执行任意命令
- 可导致设备完全被控制
- 受影响产品已不被厂商支持,存在持续安全隐患风险
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
D-Link DCS-930L alphapd setSystemAdmin command injection
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability was determined in D-Link DCS-930L 1.15.04. This affects an unknown part of the file /setSystemAdmin of the component alphapd. Executing manipulation of the argument AdminID can lead to command injection. The attack can be executed remotely. The exploit has been publicly disclosed and may be utilized. This vulnerability only affects products that are no longer supported by the maintainer.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
在命令中使用的特殊元素转义处理不恰当(命令注入)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-14225 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-14225 的情报信息
- https://github.com/Madgeaaaaa/MY_VULN_2/blob/main/D-Link/vuln-1/D-Link%20Vulnerability.mdexploit
标题: Smart Home, SMB and Enterprise solutions | D-Link -- 🔗来源链接
标签:product
- https://vuldb.com/?ctiid.334667signaturepermissions-required
- https://vuldb.com/?submit.701774third-party-advisory
- https://vuldb.com/?id.334667vdb-entrytechnical-description
- https://nvd.nist.gov/vuln/detail/CVE-2025-14225
四、漏洞 CVE-2025-14225 的评论
暂无评论