D-Link DCS-930L Wi-Fi kamera sérülékenysége


2016. június 9. 06:21

CH azonosító

CH-13309

Angol cím

DCS-930L Wi-Fi camera vulnerability

Felfedezés dátuma

2016.06.07.

Súlyosság

Magas

Érintett rendszerek

D-Link
DCS-930L Cloud Camera 1000

Érintett verziók

DCS­930L

Összefoglaló

A D-Link DCS-930L Wi-Fi kamera magas kockázati besorolású sérülékenysége vált ismertté, melyet kihasználva a támadó rendszerhozzáférést szerezhet az eszközhöz. A sérülékenységet kiküszöbölő megoldás még nem szerezhető be a gyártótól.

Leírás

A Magyarországon is népszerű IP kamerának egy halom alapú puffer túlcsordulásos hibáját fedezték fel, abban a folyamatban (DCP), amely a távoli parancsok feldolgozásáért felelős. A sérülékenység egy egyszerű paranccsal használható ki, ami egyedi assembly kódot és karaktereket tartalmaz. A paranccsal jelszó visszaállítás érhető el, így a támadó hozzáférhet a kamerához.

UPDATE 2016.07.11.:

problémás szolgáltatást több különböző eszközben is használják, így valószínűleg jóval több (120<) terméket érinthet, de erről a gyártó eddig nem adott bővebb tájékoztatást.

Megoldás

Ismeretlen

Megoldás

  • A frissítés megérkezéséig tiltsa le a távoli hozzáférést az eszközén.
  • A gyártó szerint a javítás a hét vége előtt (07.15) elérhető lesz

Támadás típusa

System access (Rendszer hozzáférés)

Hatás

Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: blog.senr.io
Egyéb referencia: threatpost.com
Egyéb referencia: securityaffairs.co

Legfrissebb sérülékenységek
CVE-2026-20127 – Cisco Catalyst SD-WAN Controller and Manager Authentication Bypass sérülékenység
CVE-2022-20775 – Cisco SD-WAN Path Traversal sérülékenység
CVE-2026-21241 – Windows Ancillary Function Driver for WinSock Elevation of Privilege sérülékenység
CVE-2025-40540 – SolarWinds Serv-U Type Confusion Remote Code Execution sérülékenység
CVE-2025-40539 – SolarWinds Serv-U Type Confusion Remote Code Execution sérülékenysége
CVE-2025-40538 – SolarWinds Serv-U Broken Access Control Remote Code Execution sérülékenysége
CVE-2026-25108 – Soliton Systems K.K FileZen OS Command Injection sérülékenység
CVE-2025-68461 – RoundCube Webmail Cross-site Scripting sérülékenység
CVE-2026-22769 – Dell RecoverPoint for Virtual Machines (RP4VMs) Use of Hard-coded Credentials sérülékenység
CVE-2021-22175 – GitLab Server-Side Request Forgery (SSRF) sérülékenység
Tovább a sérülékenységekhez »