[原创]DLINK路由器命令注入漏洞从1DAY到0DAY

#1 楼主 2026-06-01 21:09:04

DIR-823X公布了多了CVE漏洞，都是需要授权的命令注入漏洞。D-Link DIR-823X存在命令注入漏洞，该漏洞源于对文件/goform/delete_offline_device中参数delvalue的错误操作，攻击者可利用该漏洞导致命令注入。 D-Link DIR-823X存在命令注入漏洞，该漏洞源于对文件/goform/diag_traceroute中参数target_addr的错误操作，攻击者可利用该漏洞导致远程命令注入。 D-Link DIR-823X存在命令注入漏洞，该漏洞源于对文件/goform/set_device_name中参数mac的错误操作，攻击者可利用该漏洞导致远程命令注入。 D-Link DIR-823X存在命令注入漏洞，该漏洞源于文件/goform/set_wifi_blacklists中参数macList的错误操作，攻击者可利用该漏洞导致远程命令注入。 D-Link DIR-823X存在命令注入漏洞，该漏洞源于文件/goform/delete_prohibiting中函数uci_del对参数delvalue的错误操作，攻击者可利用该漏洞导致远程命令注入。 D-Link DIR-823X存在命令注入漏洞，攻击者可利用该漏洞导致远程命令执行。 D-Link DIR-823X存在命令执行漏洞，该漏洞是由于set_password设置界面未过滤http_passwd参数中的特殊字符，攻击者可利用该漏洞导致代码执行。 D-Link DIR-823X存在命令注入漏洞，该漏洞是有对文件/goform/set_switch_settings中函数sub_412E7C的参数port的错误操作，攻击者可利用该漏洞导致远程命令注入攻击。 D-Link DIR-823X存在命令注入漏洞，该漏洞是由于/usr/sbin/goahead文件中的缺陷引起的。攻击者可利用该漏洞在系统上执行任意命令。 D-Link DIR-823X存在命令注入漏洞，该漏洞源于对文件/usr/sbin/goahead中参数terminal_addr/server_ip/server_port的错误操作，攻击者可利用该漏洞导致任意命令执行。在访问/cgi-bin/backup_settings.sh时存在权限绕过漏洞，可以下载路由器的配置信息文件。import requests

---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-289000.htm

#2 2026-06-01 21:09:04

感谢分享

#3 2026-06-01 21:09:04

感谢分享

#4 2026-06-01 21:09:04

看看！！！

#5 2026-06-01 21:09:04

感谢分享，牛逼666

#6 2026-06-01 21:09:04

感谢分享

#7 2026-06-01 21:09:04

感谢分享

#8 2026-06-01 21:09:04

感谢分享

#9 2026-06-01 21:09:04

感谢分享

#10 2026-06-01 21:09:04

感谢分享

#11 2026-06-01 21:09:04

感谢分享

#12 2026-06-01 21:09:04

感谢分享