Múltiples vulnerabilidades en D-View de D-Link

Fecha de publicación 09/10/2023

Importancia

5 - Crítica

Recursos Afectados

D-View.

Descripción

rgod ha notificado varias vulnerabilidades 0day, entre ellas dos de severidad crítica, que podrían permitir a atacantes remotos eludir la autenticación o ejecutar código arbitrario.

Solución

Aún no existe una actualización, por lo que se recomienda restringir la interacción con la aplicación.

Detalle

CVE-2023-44411: esta vulnerabilidad es debida a un fallo específico dentro de la clase 'InstallApplication'. La clase contiene una contraseña codificada para la base de datos accesible de forma remota. Un atacante puede aprovechar esta vulnerabilidad para eludir la autenticación en el sistema.
CVE-2023-44414: esta vulnerabilidad es debida a un fallo específico dentro de la acción 'coreservice_action_script'. El problema resulta de la exposición de una función peligrosa. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM.

Además, se ha publicado varias vulnerabilidades de severidad alta y media. Para más información, consultar los enlaces de las referencias.

Listado de referencias

(0Day) D-Link D-View coreservice_action_script Exposed Dangerous Function Remote Code Execution Vulnerability

(0Day) D-Link D-View InstallApplication Use of Hard-coded Credentials Authentication Bypass Vulnerability

PUBLISHED ADVISORIES

Etiquetas