CVE-2026-13545
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 72 — wyżej niż 72% wszystkich znanych CVE
Streszczenie
W oprogramowaniu kamery D-Link DCS-935L w wersji 1.10.01 wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego. Problem występuje w funkcji sub_400E40 pliku setconf.cgi, gdzie argument UID jest nieprawidłowo obsługiwany przez komponent POST Parameter Handler. Atak może być przeprowadzony zdalnie, a szczegóły exploit'a są publicznie dostępne.
Ocena ryzyka
Organizacja narażona jest na zdalne przejęcie kontroli nad kamerą D-Link DCS-935L, co może umożliwić atakującemu wykonanie dowolnych poleceń systemowych, a w konsekwencji naruszenie poufności i integralności danych oraz dalszą eskalację ataku w sieci.
Rekomendacja
Należy natychmiast zaktualizować oprogramowanie kamery D-Link DCS-935L do najnowszej dostępnej wersji, jeśli producent wydał łatkę. W przypadku braku aktualizacji, należy ograniczyć dostęp do kamery z zewnętrznych sieci oraz zastosować reguły firewall blokujące nieautoryzowane żądania do interfejsu CGI.
Oryginalny opis (angielski, źródło NVD)
A vulnerability has been found in D-Link DCS-935L 1.10.01. This affects the function sub_400E40 of the file setconf.cgi of the component POST Parameter Handler. Such manipulation of the argument UID leads to os command injection. The attack can be launched remotely. The exploit has been disclosed to the public and may be used.

