DLink DIR < 2.17.b02 (SAP10018)
high Nessus 插件 ID 197733
语言:
简介
远程主机缺少一个安全更新。描述
远程主机上安装的 DLink DIR 版本低于 2.17.b02。因此,它受到 SAP10018 公告中提及的漏洞的影响。- 固件版本低于 2.17b02 的 D-Link DIR-600 路由器 (rev. Bx) 中存在多个跨站请求伪造 (CSRF) 漏洞,导致远程攻击者可以针对以下请求劫持管理员身份验证:(1) 创建管理员帐户的请求或 (2) 通过构建的 hedwig.cgi 配置模块启用远程管理的请求,(3) 通过 SETCFG、SAVE、ACTIVATE 操作为 pigwidgeon.cgi 激活新配置设置的请求,或 (4) 通过 ping 操作向 diagnostic.php 发送 ping 的请求。(CVE-2014-100005)
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
根据 SAP10018 中指定的指南升级 DLink DIR。另见
插件详情
严重性: High
ID: 197733
文件名: dlink_dir-600_2.17.b02_SAP10018.nasl
版本: 1.1
类型: remote
系列: Web Servers
发布时间: 2024/5/23
最近更新时间: 2024/5/24
支持的传感器: Nessus
风险信息
VPR
风险因素: Critical
分数: 9.2
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5.6
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2014-100005
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 8.2
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:F/RL:O/RC:C
漏洞信息
CPE: cpe:/o:d-link:dir-600
必需的 KB 项: installed_sw/DLink DIR
可利用: true
易利用性: Exploits are available
补丁发布日期: 2014/3/7
漏洞发布日期: 2014/3/7
CISA 已知可遭利用的漏洞到期日期: 2024/6/6
可利用的方式
Metasploit (D-Link DIR-645 / DIR-815 diagnostic.php Command Execution)
参考资料信息
CVE: CVE-2014-100005