PT-2021-5244 · D Link · D-Link Dir-2640-Us+1
Liyansong2018
·
Publicado
2021-02-08
·
Atualizado
2024-02-14
·
CVE-2021-34204
CVSS v2.0
7.2
Alta
| Vetor | AV:L/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
D-Link DIR-2640-US versão 1.01B04
Descrição
O problema está relacionado a credenciais insuficientemente protegidas. O D-Link AC2600 (DIR-2640) armazena a senha da conta do sistema do dispositivo em texto simples e não utiliza o gerenciamento de usuários do Linux. Além disso, todos os dispositivos possuem a mesma senha, que não pode ser modificada por usuários comuns. Um invasor pode facilmente fazer login no roteador alvo através da porta serial e obter privilégios de root.
Recomendações
Para o D-Link DIR-2640-US versão 1.01B04, considere desativar o acesso à porta serial como uma solução temporária para minimizar o risco de exploração. Também é aconselhável restringir os privilégios de root até que uma correção adequada esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
D-Link Ac2600
D-Link Dir-2640-Us