📄 Description (English)
A vulnerability was detected in D-Link DWR-M920 1.1.50/1.1.70. Affected is the function sub_41C8E8 of the file /boafrm/formSmsManage. Performing a manipulation of the argument action_value results in command injection. The attack is possible to be carried out remotely. The exploit is now public and may be used.
🤖 AI Executive Summary
A command injection vulnerability exists in D-Link DWR-M920 router firmware versions 1.1.50 and 1.1.70 through the SMS management interface. An unauthenticated remote attacker can manipulate the 'action_value' parameter to execute arbitrary commands with router privileges. With public exploit availability and no patch currently available, this poses an immediate risk to organizations using this router model.
📄 Description (Arabic)
🤖 AI Intelligence Analysis Analyzed: Jun 5, 2026 04:18
🇸🇦 Saudi Arabia Impact Assessment
Saudi telecommunications operators (STC, Mobily, Zain) and government agencies using D-Link DWR-M920 routers for network infrastructure are at significant risk. Banking sector organizations with branch connectivity through these routers face potential network compromise. Healthcare facilities and critical infrastructure operators relying on this equipment for remote management could experience service disruption. The vulnerability allows complete router compromise, potentially enabling lateral movement into internal networks and data exfiltration.
🏢 Affected Saudi Sectors
Telecommunications (STC, Mobily, Zain)
Banking and Financial Services
Government and Public Administration
Healthcare
Energy and Utilities
Critical Infrastructure
🎯 MITRE ATT&CK Techniques
⚖️ Saudi Risk Score (AI)
7.8
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS:
1. Identify all D-Link DWR-M920 devices running firmware 1.1.50 or 1.1.70 in your network using network scanning tools
2. Isolate affected routers from critical network segments if possible
3. Implement network-level access controls to restrict access to the /boafrm/formSmsManage endpoint
4. Monitor router logs for suspicious SMS management requests
COMPENSATING CONTROLS (until patch available):
5. Disable remote management features on affected routers if operationally feasible
6. Implement WAF/IPS rules to block requests containing command injection payloads to /boafrm/formSmsManage
7. Restrict administrative access to routers via firewall rules (whitelist only trusted IPs)
8. Change default credentials and enforce strong authentication
DETECTION:
9. Monitor for HTTP POST requests to /boafrm/formSmsManage with suspicious action_value parameters containing shell metacharacters (;, |, &, $, `, etc.)
10. Alert on any command execution from router processes following SMS management requests
11. Track firmware version inventory and flag 1.1.50/1.1.70 instances
LONG-TERM:
12. Contact D-Link support for security updates or consider router replacement
13. Evaluate alternative router models with active security support
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية:
1. تحديد جميع أجهزة D-Link DWR-M920 التي تعمل بإصدارات البرامج الثابتة 1.1.50 أو 1.1.70 في شبكتك باستخدام أدوات المسح
2. عزل أجهزة التوجيه المتأثرة عن قطاعات الشبكة الحرجة إن أمكن
3. تطبيق عناصر تحكم الوصول على مستوى الشبكة لتقييد الوصول إلى نقطة النهاية /boafrm/formSmsManage
4. مراقبة سجلات جهاز التوجيه للطلبات المريبة لإدارة الرسائل القصيرة
عناصر التحكم التعويضية (حتى توفر التصحيح):
5. تعطيل ميزات الإدارة البعيدة على أجهزة التوجيه المتأثرة إن أمكن من الناحية التشغيلية
6. تطبيق قواعد WAF/IPS لحجب الطلبات التي تحتوي على حمولات حقن الأوامر إلى /boafrm/formSmsManage
7. تقييد الوصول الإداري إلى أجهزة التوجيه عبر قواعد جدار الحماية (قائمة بيضاء للعناوين الموثوقة فقط)
8. تغيير بيانات الاعتماد الافتراضية وفرض المصادقة القوية
الكشف:
9. مراقبة طلبات HTTP POST إلى /boafrm/formSmsManage بمعاملات action_value مريبة تحتوي على أحرف shell (;, |, &, $, `, إلخ)
10. التنبيه على أي تنفيذ أوامر من عمليات جهاز التوجيه بعد طلبات إدارة الرسائل القصيرة
11. تتبع جرد إصدار البرامج الثابتة والإشارة إلى حالات 1.1.50/1.1.70
المدى الطويل:
12. الاتصال بدعم D-Link للحصول على تحديثات الأمان أو النظر في استبدال جهاز التوجيه
13. تقييم نماذج أجهزة التوجيه البديلة مع الدعم الأمني النشط
📋 Regulatory Compliance Mapping
🟢 NCA ECC 2024
ECC 2024 A.8.1 - Asset Management and Inventory
ECC 2024 A.8.2 - Information Security Perimeter
ECC 2024 A.12.6 - Management of Technical Vulnerabilities
ECC 2024 A.14.2 - System Development and Change Management
🔵 SAMA CSF
SAMA CSF ID.AM-1 - Physical Devices and Software Assets
SAMA CSF PR.IP-12 - Security Awareness and Training
SAMA CSF DE.CM-1 - Network Monitoring
SAMA CSF RS.MI-1 - Incident Response Planning
🟡 ISO 27001:2022
ISO 27001:2022 A.5.19 - Addressing Information Security in Supplier Relationships
ISO 27001:2022 A.8.1 - Inventory of Assets
ISO 27001:2022 A.8.2 - Ownership of Assets
ISO 27001:2022 A.12.6 - Management of Technical Vulnerabilities
🟣 PCI DSS v4.0.1
PCI DSS 6.2 - Security Patches and Updates
PCI DSS 11.2 - Vulnerability Scanning
🔗 References & Sources 6
🔗
🔗
🔗
🔗
🔗
🔗
https://github.com/7u7777/Dlink/blob/DWR-M920/formSmsManage.md
cna@vuldb.com
https://vuldb.com/cve/CVE-2026-10878
cna@vuldb.com
https://vuldb.com/submit/832154
cna@vuldb.com
https://vuldb.com/vuln/368368
cna@vuldb.com
https://vuldb.com/vuln/368368/cti
cna@vuldb.com
https://www.dlink.com/
cna@vuldb.com