PT-2020-14694 · D Link · D-Link Dap-1522
Publicado
2020-07-22
·
Atualizado
2020-07-27
·
CVE-2020-15896
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Dispositivos D-Link DAP-1522, versões 1.4x a 1.10b04Beta01
Descrição
Uma falha de contorno de autenticação permite que usuários não autorizados acessem determinadas páginas diretamente. Isso ocorre devido à verificação do valor
NO NEED AUTH. Se NO NEED AUTH estiver definido como 1, os usuários podem acessar páginas da web sem autenticação. Ao acrescentar ?NO NEED AUTH=1 a URLs protegidas, como “logout.php” e “login.php”, usuários não autorizados podem contornar a autenticação.Recomendações
Para dispositivos D-Link DAP-1522 nas versões 1.4x a 1.10b04Beta01, atualize para a versão 1.10b04Beta02 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso às páginas
logout.php e login.php e evite usar o parâmetro NO NEED AUTH em URLs protegidas até que o problema seja resolvido.Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
D-Link Dap-1522