Vulnerabilidad en una petición HTTP en un servicio telnet en los dispositivos D-Link DAP-1360 (CVE-2019-18666)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-306
Ausencia de autenticación para una función crítica
Fecha de publicación:
15/05/2020
Última modificación:
26/04/2023
Descripción
Se ha detectado un problema en los dispositivos D-Link DAP-1360 revision F. Los atacantes remotos pueden iniciar un servicio telnet sin autorización por medio de una petición HTTP no documentada. Aunque ésta es la principal vulnerabilidad, el impacto depende de la versión del firmware. Las versiones 609EU a 613EUbeta fueron probadas. Las versiones hasta la 6.12b01 contienen credenciales root débiles, permitiendo a un atacante conseguir acceso root remoto. Después de la versión 6.12b01, las credenciales root fueron cambiadas pero el servicio telnet todavía puede ser iniciado sin autorización.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
10.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:o:dlink:dap-1360_revision_f_firmware:*:*:*:*:*:*:*:* | 6.12b01 (incluyendo) | |
cpe:2.3:h:dlink:dap-1360_revision_f:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página