漏洞概述
D-Link DCS700L 固件版本 1.03.09 中存在一个命令注入漏洞,影响 Web 表单处理组件中的 /setDayNightMode 文件。攻击者可通过操纵 LightSensorControl 参数远程执行任意命令。该漏洞的利用代码已公开,存在被实际攻击的风险。
漏洞详情
- CVE 编号:CVE-2026-1419
- 漏洞类型:命令注入(CWE-74、CWE-77)
- CVSS 评分:CVSS v3.1 基础分 4.7(中危),CVSS v4.0 基础分 5.1(中危)
- 影响版本:D-Link DCS700L 固件 1.03.09
影响范围
该漏洞影响运行固件版本 1.03.09 的 D-Link DCS700L 网络摄像头设备。受影响功能位于 Web 管理界面的 /setDayNightMode 接口,攻击者需具备高权限账户(如管理员)才能触发漏洞。
风险分析
由于漏洞允许通过网络远程执行命令,且利用代码已公开,攻击者在获得高权限账户访问后,可进一步执行任意系统命令,导致设备被完全控制,可能造成信息泄露、服务中断或作为跳板攻击内网其他系统。
修复建议
- 建议用户立即联系 D-Link 官方获取安全更新或升级至不受影响的固件版本。
- 在官方补丁发布前,应限制对设备 Web 管理界面的网络访问,仅允许可信 IP 访问,并确保管理员账户使用强密码,避免凭证泄露。
