D-Link DIR-816 A2命令注入漏洞（CNVD-2022-45933）

D-Link DIR-816 A2命令注入漏洞（CNVD-2022-45933）

D-Link DIR-816 A2是中国台湾友讯（D-Link）公司的一款无线路由器。

一、漏洞分析

 公开日期：2022-06-17

 漏洞编号：CNVD-2022-45933/CVE-2022-28915

 危害等级：高危

 漏洞描述：D-Link DIR-816 A2存在命令注入漏洞，该漏洞源于/goform/setSysAdm中的admuser和admpass参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞通过精心设计的负载将权限提升到root。

二、漏洞影响产品

D-Link DIR-816 A2 1.10CNB04

三、漏洞处置建议

厂商尚未提供漏洞修复方案，请关注厂商主页更新：

https://www.dlink.com/en/security-bulletin/