PT-2020-13803 · D Link · D-Link Dsl 2730-U+1
Publicado
2020-06-08
·
Atualizado
2021-04-23
·
CVE-2020-13960
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
D-Link DSL 2730-U, versões IN 1.10 a IN 1.11
D-Link DIR-600M, versão 3.04
Descrição
A vulnerabilidade permite que invasores remotos forneçam respostas DNS válidas para nomes que, de outra forma, resultariam em um erro NXDOMAIN. Isso é possível através do registro de um subdomínio do nome de domínio domain.name, que está incluído no caminho de pesquisa do resolvedor DNS por padrão. Os invasores também podem oferecer serviços de Internet, como HTTP, para esses nomes.
Recomendações
Para as versões IN 1.10 a IN 1.11 do D-Link DSL 2730-U, remova a string domain.name do caminho de pesquisa do resolvedor DNS.
Para a versão 3.04 do D-Link DIR-600M, remova a string domain.name do caminho de pesquisa do resolvedor DNS.
Como solução alternativa temporária, considere restringir o acesso ao resolvedor DNS para minimizar o risco de exploração.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
D-Link Dir-600
D-Link Dsl 2730-U