关键漏洞信息 1. 基本信息 厂商: D-Link 产品: DI-7100G 固件版本: c1, 24.04.18D1 漏洞类型: 命令注入 更新时间: C1: 2020/02/21, 24.04.18D1: 2024/04/18 2. 漏洞描述 该漏洞是 函数内的命令注入漏洞,位于 文件中。问题发生在 后跟 的 203-214 行。 在该函数中,多个配置项的值从 NVRAM 获取,包括 , , , 等。这些配置值直接连接到命令字符串并由 函数执行。 特别是, 的值通过 获取,并直接插入 脚本的执行命令中。如果攻击者可以修改 等配置项的值以注入恶意命令(如 ),这些恶意命令将在设备启动或触发代理客户端电子邮件功能时执行,导致任意命令执行。 这是典型的命令注入漏洞,原因是缺乏对用户可控配置值的有效过滤和转义,直接连接到系统命令进行执行。 3. 影响 攻击者可以通过修改 、 、 或 等配置项注入恶意命令,当设备启动或触发代理客户端电子邮件功能时,这些命令被执行,可能导致: 设备远程控制 敏感信息泄露 设备功能中断 开启后门服务(如 ) 4. 报告人 jfkk (jfkk2331997024@gmail.com)