10критическая
BDU:2017-02064
Уязвимость параметра cmd микропрограммного обеспечения маршрутизаторов D-Link DNS-320L, D-Link DNS-327L, D-Link DNR-326, D-Link DNS-320B, D-Link DNS-345, D-Link DNS-325, D-Link DNS-322L, позволяющая нарушителю обойти процедуру аутентификации
Опубликовано: 2017-09-15
Описание
Уязвимость параметра cmd микропрограммного обеспечения маршрутизаторов D-Link DNS-320L, D-Link DNS-327L, D-Link DNR-326, D-Link DNS-320B, D-Link DNS-345, D-Link DNS-325, D-Link DNS-322L связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти процедуру аутентификации и получить права администратора, используя специально сформированную команду cgi_set_wto
Затрагиваемое ПО и версии
DNR-326 (до 1.40b03 включительно)DNS-325 (до 1.05b03 включительно)DNS-320L (до 1.03b04 включительно)DNS-327L (до 1,02 включительно)DNS-320B (до 1.02b01 включительно)DNS-345 (до 1.03b06 включительно)DNS-322L (до 2.00b07 включительно)
Способ устранения
Использование рекомендаций: http://www.search-lab.hu/media/D-Link_Security_advisory_3_0_public.pdf
Оценка CVSS
| Балл | 10 — критическая опасность |
Источники и патчи