Vulnerabilidad en dispositivos D-Link (CVE-2017-3192)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-522
Credenciales insuficientemente protegidas
Fecha de publicación:
16/12/2017
Última modificación:
20/04/2025
Descripción
La versión de firmware 1.23 de DIR-130 y la versión de firmware 1.12 de DIR-330 de D-Link no protegen suficientemente las credenciales de administrador. La página tools_admin.asp revela la contraseña del administrador en codificación base64 en la página web de retorno. Un atacante remoto con acceso a esta página (pudiendo ser mediante una omisión de autenticación como CVE-2017-3191) puede obtener credenciales de administrador para el dispositivo.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:d-link:dir-130_firmware:1.23:*:*:*:*:*:*:* | ||
| cpe:2.3:h:dlink:dir-130:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:d-link:dir-330_firmware:1.12:*:*:*:*:*:*:* | ||
| cpe:2.3:h:dlink:dir-330:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://exchange.xforce.ibmcloud.com/vulnerabilities/123292
- https://www.kb.cert.org/vuls/id/553503
- https://www.scmagazine.com/d-link-dir-130-and-dir-330-routers-vulnerable/article/644553/
- https://www.wilderssecurity.com/threads/d-link-dir-130-and-dir-330-are-vulnerable-to-authentication-bypass-and-do-not-protect-credentials.392703/
- https://exchange.xforce.ibmcloud.com/vulnerabilities/123292
- https://www.kb.cert.org/vuls/id/553503
- https://www.scmagazine.com/d-link-dir-130-and-dir-330-routers-vulnerable/article/644553/
- https://www.wilderssecurity.com/threads/d-link-dir-130-and-dir-330-are-vulnerable-to-authentication-bypass-and-do-not-protect-credentials.392703/