Dcs-932l
Уязвимости
22
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.09508
Распределение по критичности
Критический
1
Высокий
15
Средний
5
Низкий
1
Также сопоставлено как (исходные строки): dcs-932l_firmware,dcs-932l
Топ уязвимостей
BDU:2025-08877Уязвимость функций setSystemWizard(), setSystemControl() микропрограммного обеспечения IP-камер D-Link DCS-932L существует из-за непринятия мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольную команду
CVE-2019-10999Серия Wi-Fi камер D-Link DCS содержит переполнение буфера на основе стека в alphapd, веб-сервере камеры. Переполнение позволяет удаленному аутентифицированному злоумышленнику выполнить произвольный код, предоставив длинную строку в параметре WEPEncryption при запросе wireless.htm. Уязвимые устройства включают DCS-5009L (1.08.11 и ниже), DCS-5010L (1.14.09 и ниже), DCS-5020L (1.15.12 и ниже), DCS-5025L (1.03.07 и ниже), DCS-5030L (1.04.10 и ниже), DCS-930L (2.16.01 и ниже), DCS-931L (1.14.11 и ниже), DCS-932L (2.17.01 и ниже), DCS-933L (1.14.11 и ниже) и DCS-934L (1.05.04 и ниже).
CVE-2017-7852Камеры D-Link DCS имеют слабый/небезопасный файл CrossDomain.XML, который позволяет сайтам, на которых размещены вредоносные объекты Flash, получать доступ и/или изменять настройки устройства через атаку CSRF. Это связано с тем, что дочерний элемент 'allow-access-from domain' установлен в *, таким образом принимая запросы из любого домена. Если жертва, вошедшая в веб-консоль камеры, посещает вредоносный сайт, на котором размещен вредоносный файл Flash из другой вкладки браузера, вредоносный файл Flash может отправлять запросы на камеру DCS жертвы, не зная учетных данных. Злоумышленник может разместить вредоносный файл Flash, который может извлекать Live Feeds или информацию с камеры DCS жертвы, добавлять новых пользователей-администраторов или вносить другие изменения в устройство. Известные уязвимые устройства: DCS-933L с прошивкой до 1.13.05, DCS-5030L, DCS-5020L, DCS-2530L, DCS-2630L, DCS-930L, DCS-932L и DCS-932LB1.
BDU:2025-06750Уязвимость функции setSystemEmail() микропрограммного обеспечения IP-камер D-Link DCS-932L связана с выходом операции за границы буфера в памяти при обработке параметра EmailSMTPPortNumber. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код или вызвать отказ в обслуживании
BDU:2025-05861Уязвимость функции SubUPnPCSInit файла /sbin/udev микропрограммного обеспечения IP-камер D-Link DCS-932L связана с чтением данных за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2025-05855Уязвимость функции sub_404780 файла /bin/gpio микропрограммного обеспечения IP-камер D-Link DCS-932L связана с переполнением буфера в стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2025-05854Уязвимость функции isUCPCameraNameChanged файла /sbin/ucp микропрограммного обеспечения IP-камер D-Link DCS-932L связана с переполнением буфера в стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
BDU:2019-03071Уязвимость компонента alphapd микропрограммного обеспечения Wi-Fi камер D-Link серии DCS вызвана выходом операции за границы буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем отправки специально сформированного запроса
CVE-2025-5572В D-Link DCS-932L версии 2.18.01 обнаружена уязвимость, классифицированная как критическая. Уязвимость затрагивает функцию setSystemEmail файла /setSystemEmail. Манипуляция аргументом EmailSMTPPortNumber приводит к переполнению буфера на основе стека. Атака может быть инициирована удаленно. Эксплойт был раскрыт публично и может быть использован [1].
Источники:
- [1] https://vuldb.com/?id.311029
- [2] https://vuldb.com/?ctiid.311029
- [3] https://vuldb.com/?submit.588466
- [4] https://github.com/wudipjq/my_vuln/blob/main/D-Link5/vuln_43/43.md
- [5] https://www.dlink.com/
CVE-2025-4843Критическая уязвимость обнаружена в D-Link DCS-932L версии 2.18.01. Уязвимость затрагивает функцию SubUPnPCSInit файла /sbin/udev. Манипуляция аргументом CameraName приводит к переполнению буфера на основе стека. Атака может быть инициирована удаленно. Эксплойт был публично раскрыт и может быть использован [1]. Примечание: эта уязвимость затрагивает только продукты, которые больше не поддерживаются производителем.
Источники:
- [1] https://vuldb.com/?id.309309
- [2] https://vuldb.com/?ctiid.309309
- [3] https://vuldb.com/?submit.574926
- [4] https://github.com/BeaCox/IoT_vuln/tree/main/D-Link/DCS-932L/udev_bof
- [5] https://www.dlink.com/
CVE-2025-4842В D-Link DCS-932L версии 2.18.01 обнаружена критическая уязвимость. Затронута функция isUCPCameraNameChanged файла /sbin/ucp. Манипуляция аргументом CameraName приводит к переполнению буфера на основе стека. Атака может быть инициирована удаленно. Эксплойт был раскрыт публично и может быть использован [1].
Дополнительная информация:
Эта уязвимость является межбиблиотечной и вызвана копированием значения CameraName в переменную стека с помощью strcpy, что приводит к переполнению стека [2].
Источники:
- [1] https://vuldb.com/?id.309310
- [2] https://vuldb.com/?ctiid.309310
- [3] https://vuldb.com/?submit.574925
- [4] https://github.com/BeaCox/IoT_vuln/tree/main/D-Link/DCS-932L/ucp_bof
CVE-2025-4841В D-Link DCS-932L 2.18.01 обнаружена критическая уязвимость. Проблема затрагивает функцию sub_404780 файла /bin/gpio. Манипуляция аргументом CameraName приводит к переполнению буфера в стеке. Атака может быть запущена удаленно. Эксплойт доступен публично. Поскольку продукт больше не поддерживается производителем, рекомендуется заменить его на альтернативный. Источники:
- [1] https://vuldb.com/?id.309308
- [2] https://vuldb.com/?ctiid.309308
- [3] https://vuldb.com/?submit.574924
- [4] https://github.com/BeaCox/IoT_vuln/tree/main/D-Link/DCS-932L/gpio_bof
- [5] https://www.dlink.com/
Источники:
- [1] https://vuldb.com/?id.309308
- [2] https://vuldb.com/?ctiid.309308
- [3] https://vuldb.com/?submit.574924
- [4] https://github.com/BeaCox/IoT_vuln/tree/main/D-Link/DCS-932L/gpio_bof
- [5] https://www.dlink.com/
CVE-2021-41504Проблема повышенных привилегий существует в D-Link DCS-5000L v1.05 и DCS-932L v2.17 и более старых версиях. Использование дайджест-аутентификации для интерфейса команд устройств может допускать дальнейшие векторы атак, которые могут скомпрометировать конфигурацию камер и позволить злонамеренным пользователям в локальной сети получить доступ к устройству. ПРИМЕЧАНИЕ: Эта уязвимость затрагивает только продукты, которые больше не поддерживаются мейнтейнером.
CVE-2021-41503DCS-5000L v1.05 и DCS-932L v2.17 и более старые версии подвержены неправильному контролю доступа. Использование базовой аутентификации для интерфейса команд устройств допускает векторы атак, которые могут скомпрометировать конфигурацию камер и позволить злонамеренным пользователям в локальной сети получить доступ к устройству. ПРИМЕЧАНИЕ: Эта уязвимость затрагивает только продукты, которые больше не поддерживаются мейнтейнером.
CVE-2018-18441Wi-Fi камеры серии D-Link DCS раскрывают конфиденциальную информацию о конфигурации устройства. Затронутые устройства включают многие из серии DCS, такие как: DCS-936L, DCS-942L, DCS-8000LH, DCS-942LB1, DCS-5222L, DCS-825L, DCS-2630L, DCS-820L, DCS-855L, DCS-2121, DCS-5222LB1, DCS-5020L и многие другие. Существует множество затронутых версий прошивки, начиная с 1.00 и выше. Доступ к файлу конфигурации можно получить удаленно через: <Camera-IP>/common/info.cgi без аутентификации. Файл конфигурации включает следующие поля: модель, продукт, бренд, версия, сборка, hw_version, версия nipca, имя устройства, местоположение, MAC-адрес, IP-адрес, IP-адрес шлюза, состояние беспроводной сети, настройки ввода/вывода, динамик и настройки датчика.
CVE-2026-36983D-Link DCS-932L v2.18.01 уязвим для командной инъекции в функции sub_42EF14 файла /bin/alphapd. Манипуляции с аргументом LightSensorControl приводит к командной инъекции.
CVE-2024-37606Уязвимость переполнения стека в D-Link DCS-932L REVB_FIRMWARE_2.18.01 позволяет злоумышленникам вызывать отказ в обслуживании (DoS) с помощью специально созданного HTTP-запроса.
BDU:2024-11476Уязвимость файла /bin/alphapd микропрограммного обеспечения IP-камер D-Link DCS-932L связана с выходом операции за границы буфера в памяти при обработке поля AUTHORIZATION в заголовке HTTP-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании путем отправки специально сформированных HTTP-запросов
BDU:2025-09909Уязвимость функции setSystemAdmin файла /setSystemAdmin микропрограммного обеспечения IP-камер D-Link DCS-932L связана с отсутствием мер по очистке входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольную команду
CVE-2025-5573В устройстве D-Link DCS-932L версии 2.18.01 обнаружена уязвимость, оцененная как критическая. Уязвимость затрагивает функцию setSystemWizard/setSystemControl файла /setSystemWizard. Манипуляция аргументом AdminID приводит к инъекции команды ОС [1]. Атака может быть запущена удаленно. Эксплойт был раскрыт публично и может быть использован. Эта уязвимость затрагивает только продукты, которые больше не поддерживаются производителем. Согласно отчету на github.com, в функции setSystemWizard/setSystemControl устройства D-Link DCS-932L возможен несанкционированный доступ к выполнению команд ОС через специально сформированный запрос [2].
Источники:
- [1] https://vuldb.com/?id.311030
- [2] https://github.com/wudipjq/my_vuln/blob/main/D-Link5/vuln_44/44.md
CVE-2025-5571В D-Link DCS-932L версии 2.18.01 обнаружена критическая уязвимость. Функция setSystemAdmin файла /setSystemAdmin подвержена инъекции ОС-команд при манипуляции аргументом AdminID. Уязвимость позволяет провести атаку удаленно, и для нее существует публично доступный эксплойт. CWE классифицирует эту проблему как CWE-78 [1].
Источники:
- [1] https://vuldb.com/?id.311028
- [2] https://vuldb.com/?ctiid.311028
- [3] https://vuldb.com/?submit.588465
- [4] https://github.com/wudipjq/my_vuln/blob/main/D-Link5/vuln_42/42.md
- [5] https://www.dlink.com/
CVE-2012-4046Камера D-Link DCS-932L с прошивкой 1.02 позволяет удаленным злоумышленникам обнаруживать пароль через широковещательный UDP-пакет, как продемонстрировано запуском мастера установки D-Link и чтением значения _paramR["P"].