Vulnerabilidad en la URL en los dispositivos DCS-1130 de D-Link (CVE-2017-8409)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-285 Autorización incorrecta

Fecha de publicación:

02/07/2019

Última modificación:

23/04/2021

Descripción

Se detectó un problema en los dispositivos DCS-1130 de D-Link. El dispositivo requiere que un usuario inicie sesión en el dispositivo para suministrar un nombre de usuario y contraseña. Sin embargo, el dispositivo no impone la misma restricción en una URL específica, lo que permite que cualquier atacante en posesión de esta, pueda visualizar la fuente de video en tiempo real. La severidad de este ataque se incrementa por el hecho de que hay más de 100.000 dispositivos D-Link instalados.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:P/I:N/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:P/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno