Vulnerabilidad en D-Link DAR-7000 y DAR-8000 (CVE-2023-5148)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-434
Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
25/09/2023
Última modificación:
02/08/2024
Descripción
** NO SOPORTADO CUANDO ESTÁ ASIGNADO ** ** NO SOPORTADO CUANDO ESTÁ ASIGNADO ** Se encontró una vulnerabilidad en D-Link DAR-7000 y DAR-8000 hasta 20151231. Ha sido declarada como crítica. Esta vulnerabilidad afecta a un código desconocido del archivo /Tool/uploadfile.php. La manipulación del argumento file_upload conduce a una carga sin restricciones. El ataque se puede iniciar de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-240244. NOTA: Esta vulnerabilidad solo afecta a productos que ya no son compatibles con el mantenedor. NOTA: Se contactó primeramente con el proveedor y se confirmó de inmediato que el producto ha llegado al final de su vida útil. Debería retirarse y reemplazarse.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:dlink:dar-7000_firmware:*:*:*:*:*:*:*:* | 2015-12-31 (incluyendo) | |
| cpe:2.3:h:dlink:dar-7000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:dlink:dar-8000_firmware:*:*:*:*:*:*:*:* | 2015-12-31 (incluyendo) | |
| cpe:2.3:h:dlink:dar-8000:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/llixixi/cve/blob/main/D-LINK-DAR-7000_upload_%20uploadfile.md
- https://github.com/llixixi/cve/blob/main/D-LINK-DAR-8000-10_upload_%20uploadfile.md
- https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10354
- https://vuldb.com/?ctiid_240244=
- https://vuldb.com/?id_240244=