Vulnerabilidad en la configuración PPPoE en D-Link DIR-2640-US (CVE-2021-34203)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

16/06/2021

Última modificación:

14/02/2024

Descripción

D-Link DIR-2640-US versión 1.01B04 es vulnerable al Control de Acceso Incorrecto. El router ac2600 (dir-2640-us), cuando se configura PPPoE, iniciará el proceso quagga en la manera de monitorización de toda la red, y esta función usa la contraseña y el puerto originales predeterminado. Un atacante puede usar fácilmente telnet para iniciar sesión, modificar la información de enrutamiento, monitorear el tráfico de todos los dispositivos bajo el router, secuestrar el DNS y los ataques de phishing. Además, es probable que esta interfaz sea cuestionada por los clientes como una puerta trasera, ya que la interfaz no debería estar expuesta

Impacto

Vector 3.x

CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

8.10

Gravedad 3.x

ALTA

Vector 2.0

AV:A/AC:L/Au:N/C:P/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.80 MEDIA
Vector: AV:A/AC:L/Au:N/C:P/I:P/A:N

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno