Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en una petición HTTP en un servicio telnet en los dispositivos D-Link DAP-1360 (CVE-2019-18666)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-306 Ausencia de autenticación para una función crítica
Fecha de publicación:
15/05/2020
Última modificación:
26/04/2023

Descripción

Se ha detectado un problema en los dispositivos D-Link DAP-1360 revision F. Los atacantes remotos pueden iniciar un servicio telnet sin autorización por medio de una petición HTTP no documentada. Aunque ésta es la principal vulnerabilidad, el impacto depende de la versión del firmware. Las versiones 609EU a 613EUbeta fueron probadas. Las versiones hasta la 6.12b01 contienen credenciales root débiles, permitiendo a un atacante conseguir acceso root remoto. Después de la versión 6.12b01, las credenciales root fueron cambiadas pero el servicio telnet todavía puede ser iniciado sin autorización.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:dlink:dap-1360_revision_f_firmware:*:*:*:*:*:*:*:* 6.12b01 (incluyendo)
cpe:2.3:h:dlink:dap-1360_revision_f:-:*:*:*:*:*:*:*