Dcs-2530l Firmware
Уязвимости
3
Эксплуатируемые
2
Макс. CVSS
8.8
Макс. EPSS
0.97901
Распределение по критичности
Критический
0
Высокий
3
Средний
0
Низкий
0
Затронутые диапазоны версий
≤ 1.00.21≤ 1.05.05
Также сопоставлено как (исходные строки): dcs-2530l_firmware
Топ уязвимостей
CVE-2020-25079Обнаружена проблема на устройствах D-Link DCS-2530L до версии 1.06.01 Hotfix и DCS-2670L до версии 2.02. Скрипт cgi-bin/ddns_enc.cgi позволяет выполнить внедрение команд после аутентификации.
Источники:
- [1] https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10180
- [2] https://twitter.com/Dogonsecurity/status/1271265152118259712
CVE-2017-7852Камеры D-Link DCS имеют слабый/небезопасный файл CrossDomain.XML, который позволяет сайтам, на которых размещены вредоносные объекты Flash, получать доступ и/или изменять настройки устройства через атаку CSRF. Это связано с тем, что дочерний элемент 'allow-access-from domain' установлен в *, таким образом принимая запросы из любого домена. Если жертва, вошедшая в веб-консоль камеры, посещает вредоносный сайт, на котором размещен вредоносный файл Flash из другой вкладки браузера, вредоносный файл Flash может отправлять запросы на камеру DCS жертвы, не зная учетных данных. Злоумышленник может разместить вредоносный файл Flash, который может извлекать Live Feeds или информацию с камеры DCS жертвы, добавлять новых пользователей-администраторов или вносить другие изменения в устройство. Известные уязвимые устройства: DCS-933L с прошивкой до 1.13.05, DCS-5030L, DCS-5020L, DCS-2530L, DCS-2630L, DCS-930L, DCS-932L и DCS-932LB1.
CVE-2020-25078Уязвимость была обнаружена на устройствах D-Link DCS-2530L версии до 1.06.01 Hotfix и DCS-2670L версии до 2.02. Неаутентифицированный endpoint /config/getuser позволяет раскрыть пароль администратора [1].
Источники:
- [1] https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10180
- [2] https://twitter.com/Dogonsecurity/status/1273251236167516161