PT-2024-7983 · D Link · D-Link Dns-320+2
Netsecfish
·
Publicado
2024-11-06
·
Atualizado
2024-11-08
·
CVE-2024-10916
CVSS v2.0
5.0
Média
| Vetor | AV:N/AC:L/Au:N/C:P/I:N/A:N |
Nome do software vulnerável e versões afetadas
D-Link DNS-320, versões até 20241028
D-Link DNS-320LW, versões até 20241028
D-Link DNS-325, versões até 20241028
Versões do D-Link DNS-340L até 20241028
Descrição
O problema está relacionado à proteção insuficiente dos dados de serviço no arquivo /xml/info.xml do componente HTTP GET Request Handler nos dispositivos D-Link DNS. Isso pode ser explorado por um invasor remoto para divulgar informações confidenciais. A manipulação leva à divulgação de informações e pode ser iniciada remotamente.
Recomendações
Para as versões do D-Link DNS-320 até 20241028, considere restringir o acesso ao arquivo /xml/info.xml até que uma correção esteja disponível.
Para as versões do D-Link DNS-320LW até 20241028, considere restringir o acesso ao arquivo /xml/info.xml até que uma correção esteja disponível.
Para as versões do D-Link DNS-325 até 20241028, considere restringir o acesso ao arquivo /xml/info.xml até que uma correção esteja disponível.
Para as versões do D-Link DNS-340L até 20241028, considere restringir o acesso ao arquivo /xml/info.xml até que uma correção esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Improper Access Control
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
D-Link Dns-320
D-Link Dns-325
D-Link Dns-340L