CVE-2025-60675
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 67 - wyżej niż 67% wszystkich znanych CVE
Streszczenie
W oprogramowaniu routera D-Link DIR-823G w wersji DIR823G_V1.0.2B05_20181207.bin wykryto podatność na wstrzykiwanie poleceń w plikach binarnych timelycheck i sysconf. Podatność wynika z braku sanityzacji pól konfiguracyjnych z pliku /tmp/new_qos.rule, które są łączone w ciągi poleceń i wykonywane przez funkcję system().
Ocena ryzyka
Atakujący z dostępem do zapisu pliku /tmp/new_qos.rule może wykonać dowolne polecenia na urządzeniu, co prowadzi do pełnego przejęcia kontroli nad routerem i potencjalnego naruszenia bezpieczeństwa sieci.
Rekomendacja
Należy natychmiast zaktualizować oprogramowanie routera do najnowszej dostępnej wersji lub zastosować obejście polegające na ograniczeniu dostępu do pliku /tmp/new_qos.rule oraz monitorowaniu jego modyfikacji.
Oryginalny opis (angielski, źródło NVD)
A command injection vulnerability exists in the D-Link DIR-823G router firmware DIR823G_V1.0.2B05_20181207.bin in the timelycheck and sysconf binaries, which process the /tmp/new_qos.rule configuration file. The vulnerability occurs because parsed fields from the configuration file are concatenated into command strings and executed via system() without any sanitization. An attacker with write access to /tmp/new_qos.rule can execute arbitrary commands on the device.

