聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
D-View 是由D-Link 公司开发的网络管理套件,用于规模不一的企业中,用于监控性能、控制设备配置、创建网络地图并使网络管理和管理员工作更为有效和节约时间。
参加ZDI项目的安全研究员去年晚些时候发现了6个影响 D-View 的漏洞并在2022年12月23日告知D-Link 公司。其中两个漏洞是严重级别(CVSS 9.8),可导致未认证攻击者利用受影响程序。第一个漏洞CVE-2023-32165是一个远程代码执行缺陷,是因为在文件操作中使用由用户提供的路径时缺乏正确验证导致的。攻击者可利用该漏洞以系统权限执行代码,从而在 Windows系统上以最高权限运行,可能导致系统遭完全接管。
第二个严重漏洞CVE-2023-32169是认证绕过漏洞,是因为软件的 TokenUtils 类上的硬编码加密密钥导致的。如遭利用,该漏洞可导致权限提升、越权访问信息、更改软件配置和设置、甚至安装后门和恶意软件。
D-Link 已为所有六个漏洞发布安全公告。它们影响 D-View 8版本2.0.1.27及以下版本。管理员应升级至2023年5月17日发布的已修复版本2.0.1.28。
D-Link 安全通告指出,“D-Link 收到安全问题报告后,立即启动调查并开始开发安全补丁。”尽管D-Link 公司“强烈建议”所有用户安装安全更新,但也提醒称该补丁是“测试软件或热修复方案发布”,仍然处于最终测试阶段。这意味着升级至2.0.1.28可能引发问题或导致D-View 不稳定,但这些漏洞的严重性可能超越了任何潜在的性能问题。
D-Link 还建议用户在下载相应的固件更新前检查底面标签或web配置面板,验证产品的硬件修订版本。
https://www.bleepingcomputer.com/news/security/d-link-fixes-auth-bypass-and-rce-flaws-in-d-view-8-software/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):D-Link 修复D-Link D-View 8软件中的认证绕过和 RCE 漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论