Vulnerabilidad en D-Link DAR-7000 y DAR-8000 (CVE-2023-5144)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-434
Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
24/09/2023
Última modificación:
02/08/2024
Descripción
** NO SOPORTADO CUANDO ESTÁ ASIGNADO ** ** NO SOPORTADO CUANDO ESTÁ ASIGNADO ** Una vulnerabilidad clasificada como crítica fue encontrada en D-Link DAR-7000 y DAR-8000 hasta 20151231. Una función desconocida del archivo /sysmanage es afectada por esta vulnerabilidad. /actualizaciones.php. La manipulación del argumento file_upload conduce a una carga sin restricciones. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-240240. NOTA: Esta vulnerabilidad solo afecta a productos que ya no son compatibles con el mantenedor. NOTA: Se contactó primeramente con el proveedor y se confirmó que el producto ha llegado al final de su vida útil. Debería retirarse y reemplazarse.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:dlink:dar-7000_firmware:*:*:*:*:*:*:*:* | 20151231 (incluyendo) | |
| cpe:2.3:h:dlink:dar-7000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:dlink:dar-8000_firmware:*:*:*:*:*:*:*:* | 20151231 (incluyendo) | |
| cpe:2.3:h:dlink:dar-8000:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/llixixi/cve/blob/main/D-LINK-DAR-7000_upload_%20changelogo.md
- https://github.com/llixixi/cve/blob/main/D-LINK-DAR-8000-10_upload_%20updateos.md
- https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10354
- https://vuldb.com/?ctiid_240240=
- https://vuldb.com/?id_240240=