PT-2020-16820 · Lede+1 · Uhttpd+1
Chung96Vn
·
Publicado
2020-12-15
·
Atualizado
2021-03-25
·
CVE-2020-27865
CVSS v3.1
8.8
Alta
| Vetor | AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Firmware do D-Link DAP-1860, versão 1.04B03
Descrição
Esta vulnerabilidade permite que invasores na rede adjacente executem código arbitrário nas instalações afetadas. Não é necessária autenticação para explorar esta vulnerabilidade. A falha específica existe no serviço uhttpd, que escuta na porta TCP 80 por padrão. A vulnerabilidade resulta de uma lógica incorreta de correspondência de strings ao acessar páginas protegidas. Um invasor pode aproveitar esta vulnerabilidade para escalar privilégios e executar código no contexto do dispositivo.
Recomendações
Para o firmware D-Link DAP-1860 versão 1.04B03, como solução temporária, considere desativar o serviço uhttpd até que um patch esteja disponível. Restrinja o acesso à porta TCP 80 para minimizar o risco de exploração. Evite acessar páginas protegidas usando o serviço uhttpd afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Correção
Improper Authentication
Authentication Bypass Using an Alternate Path or Channel
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
D-Link Dap-1860
Uhttpd