漏洞描述
D-LinkDAP-2020存在任意文件读取,在登录时,POST请求中有很多可选的标签供使用,其中errorpage标签用于跳转页面显示登陆失败时的信息。由于程序没有对用户的输入做足够的过滤,在用户登陆失败时,攻击者通过修改errorpage标签的值即可重定向到任意文件,实现任意文件读取。
D-Link DAP /cgi-bin/webproc 任意文件读取(CVE-2021-27250)
PoC代码
暂无相关漏洞推荐
- D-Link DIR-852 命令注入漏洞
- D-Link DIR-823X 命令注入漏洞
- D-Link DIR-823X 命令注入漏洞
- D-Link DIR-823X 命令注入漏洞
- D-Link DIR-823X 命令注入漏洞
- D-Link DIR-823X 命令注入漏洞
- D-Link DIR-823X 命令注入漏洞
- D-Link DIR-645 命令注入漏洞
- CVE-2019-17506: D-Link authentication
- D-Link 中央WiFi管理器CWM(100)存在远程代码执行(CVE-2019-13372)
- POC CVE-2015-7245: D-Link DVG-N5402SP - Local File Inclusion
- POC CVE-2018-10822: D-Link Routers - Local File Inclusion
- POC CVE-2018-10823: D-Link Routers - Remote Command Injection