D-Link termékek sérülékenységei

CH azonosító

CH-9035

Angol cím

D-Link DIR-615 Information Disclosure Security Issue and Cross-Site Request Forgery Vulnerability

Felfedezés dátuma

2013.04.23.

Súlyosság

Alacsony

Érintett rendszerek

D-Link
DIR-300
DIR-615

Érintett verziók

D-Link DIR-300
D-Link DIR-615

Összefoglaló

A D-Link termékek több sérülékenységét jelentették, amiket kihasználva a támadók bizonyos rendszer információkat szerezhetnek, cross-site scripting (XSS/CSS) és cross-site request forgery (XSRF/CSRF) támadásokat hajthatnak végre.

Leírás

  1. Az eszköz nem korlátozza megfelelően a DevInfo.txt fájlhoz történő hozzáférést, amit kihasználva bizalmas információkat lehet szerezni az eszközről.
  2. Az alkalmazás lehetővé teszi a felhasználóknak bizonyos műveletek elvégzését HTTP kérések segítségével anélkül, hogy ellenőrizné azok érvényességét. Ezt kihasználva meg lehet változtatni a bejelentkezési adatokat, ha egy belépett felhasználó meglátogat egy speciálisan elkészített weboldalt.
  3. A tools_log_setting.php részére a “send_mail” GET paraméteren keresztül átadott bemeneti adat nem megfelelően van megtisztítva a felhasználónak történő visszaadás előtt. Ezt kihasználva tetszőleges HTML és script kódot lehet futtatni a felhasználó böngészőjének munkamenetében az érintett oldal vonatkozásában.

Az 1-2. sérülékenységet a DIR-615 D3 rev. 4.13 verzióban, a 3. sérülékenységet a DIR-615 rev. D3 4.13 és a DIR-300 rev. A 1.05 verziókban jelentették.

Megoldás

Ismeretlen

Legfrissebb sérülékenységek
CVE-2023-27394 – Osprey Pump Controller sérülékenysége
CVE-2023-27886 – Osprey Pump Controller sérülékenysége
CVE-2023-1516 – RoboDK sérülékenysége
CVE-2022-3683 – Hitachi Energy’s MicroSCADA System Data Manager SDM600 sérülékenysége
CVE-2022-3682 – Hitachi Energy’s MicroSCADA System Data Manager SDM600 sérülékenysége
CVE-2023-20951 – Google Android, Google Android (12L) sérülékenysége
CVE-2023-20954 – Google Android, Google Android (12L) sérülékenysége
CVE-2023-28303 – Windows képmetsző sérülékenysége
CVE-2023-26359 – Adobe ColdFusion sérülékenysége
CVE-2023-1607 – Novel-plus Project Novel-plus sérülékenysége
Tovább a sérülékenységekhez »