ГлавнаяБаза уязвимостей БДУ → BDU:2017-02064
10критическая

BDU:2017-02064

Уязвимость параметра cmd микропрограммного обеспечения маршрутизаторов D-Link DNS-320L, D-Link DNS-327L, D-Link DNR-326, D-Link DNS-320B, D-Link DNS-345, D-Link DNS-325, D-Link DNS-322L, позволяющая нарушителю обойти процедуру аутентификации
Опубликовано: 2017-09-15
Описание

Уязвимость параметра cmd микропрограммного обеспечения маршрутизаторов D-Link DNS-320L, D-Link DNS-327L, D-Link DNR-326, D-Link DNS-320B, D-Link DNS-345, D-Link DNS-325, D-Link DNS-322L связана с недостатками процедуры аутентификации. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, обойти процедуру аутентификации и получить права администратора, используя специально сформированную команду cgi_set_wto

Затрагиваемое ПО и версии
DNR-326 (до 1.40b03 включительно)DNS-325 (до 1.05b03 включительно)DNS-320L (до 1.03b04 включительно)DNS-327L (до 1,02 включительно)DNS-320B (до 1.02b01 включительно)DNS-345 (до 1.03b06 включительно)DNS-322L (до 2.00b07 включительно)
Способ устранения

Использование рекомендаций: http://www.search-lab.hu/media/D-Link_Security_advisory_3_0_public.pdf

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
http://packetstormsecurity.com/files/132075/D-Link-Bypass-Buffer-Overflow.htmlhttp://seclists.org/fulldisclosure/2015/May/125http://www.search-lab.hu/media/D-Link_Security_advisory_3_0_public.pdfhttp://www.securityfocus.com/archive/1/archive/1/535626/100/200/threadedhttp://www.securityfocus.com/bid/74880
Проверьте безопасность своего сайта и почты → Полная проверка домена