关键信息 信息 产品供应商: D-Link 供应商网站: https://www.dlink.com.cn/ 受影响产品: DI-8200G 受影响固件版本: V17.12.20A1 固件下载地址: D-Link Technical Support 提交人: Yun Zhang (DavCloudz) 漏洞概述 发现了一个验证命令执行漏洞在D-Link的DI-8200G产品中。攻击者可以通过发起包含恶意payload的HTTP Post包利用该漏洞,触发在 请求路径下命令执行漏洞均,从而任意执行命令。 漏洞细节 通过调用函数 触发漏洞。 可以看出 和 参数的值被取出,最终拼接进系统中命令的作用区,从而导致攻击者可以执行任意命令。 POC