Vulnerabilidad en la cuenta del sistema del dispositivo en D-Link DIR-2640-US (CVE-2021-34204)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-522 Credenciales insuficientemente protegidas

Fecha de publicación:

16/06/2021

Última modificación:

14/02/2024

Descripción

D-Link DIR-2640-US versión 1.01B04, está afectado por Credenciales insuficientemente protegidas. D-Link AC2600(DIR-2640) almacena la contraseña de la cuenta del sistema del dispositivo en texto plano. No usa la administración de usuarios de Linux. Además, las contraseñas de todos los dispositivos son las mismas, y no pueden ser modificadas por usuarios normales. Un atacante puede entrar fácilmente en el router objetivo mediante el puerto serie y alcanzar privilegios de root

Impacto

Vector 3.x

CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: CVSS:3.1/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Físico
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

6.80

Gravedad 3.x

MEDIA

Vector 2.0

AV:L/AC:L/Au:N/C:C/I:C/A:C CVSS v2.0 Severidad y Métricas:

Puntuación base: 7.20 ALTA
Vector: AV:L/AC:L/Au:N/C:C/I:C/A:C

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Completo
Impacto a la integridad (I): Completo
Impacto a la disponibilidad (A): Completo