PT-2020-16818 · D Link · D-Link Dva-2800+1
Chung96Vn
+2
·
Publicado
2020-12-15
·
Atualizado
2021-04-23
·
CVE-2020-27863
CVSS v3.1
6.5
Média
| Vetor | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
D-Link DVA-2800, versões anteriores à versão de firmware 2.3
D-Link DSL-2888A, versões anteriores à versão de firmware 2.3
Descrição
Esta vulnerabilidade permite que invasores na mesma rede divulguem informações confidenciais em instalações afetadas de roteadores D-Link. Não é necessária autenticação para explorar esta vulnerabilidade. A falha específica existe no serviço dhttpd, que escuta na porta TCP 8008 por padrão. A vulnerabilidade resulta de uma lógica incorreta de correspondência de strings ao acessar páginas protegidas. Um invasor pode aproveitar esta vulnerabilidade para divulgar credenciais armazenadas, levando a um comprometimento adicional.
Recomendações
Para versões do D-Link DVA-2800 anteriores à versão 2.3 do firmware, atualize para a versão 2.3 ou posterior do firmware para resolver a vulnerabilidade.
Para versões do D-Link DSL-2888A anteriores à versão 2.3 do firmware, atualize para a versão 2.3 ou posterior do firmware para resolver a vulnerabilidade.
Como solução alternativa temporária, considere restringir o acesso ao serviço dhttpd na porta TCP 8008 até que um patch esteja disponível.
Correção
Improper Authentication
Authentication Bypass Using an Alternate Path or Channel
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
D-Link Dsl-2888A
D-Link Dva-2800