Multiples vulnérabilités dans D-Link
Date de publication :
CVE-2022-26258[Score CVSS v3.1: 9.8] (critique)
Une vérification insuffisante du nom de l’appareil renseigné par l’utilisateur dans une fonction du fichier /lan.asp de D-Link DIR-820L permet à un attaquant, en envoyant une requête spécifiquement forgée, d’exécuter du code arbitraire sur le système.
CVE-2022-28958[Score CVSS v3.1:9.8] (critique)
Une vérification insuffisante de paramètres envoyés par l’utilisateur dans une fonction du fichier hareport.php permet à un attaquant, en envoyant des requêtes spécifiquement forgées, d’exécuter du code arbitraire sur le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
Criticité
- Score CVSS v3.1: 9.8
La faille est activement exploitée
- Oui, pour l’ensemble des CVE présentées.
Un correctif existe
- Oui, pour l’ensemble des CVE présentées.
Une mesure de contournement existe
- Non, pour l’ensemble des CVE présentées.
La vulnérabilité exploitée est du type
- Pour l’ensemble des CVE présentées
CWE-94: Improper Control of Generation of Code ('Code Injection')
Détails sur l’exploitation
Pour l’ensemble des CVE présentées
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Pour la CVE-2022-26258
- D-Link DIR-820L 1.05.B03
Pour la CVE-2022-28958
- D-Link DIR-816L 2.06.B01
Solutions ou recommandations
Pour l’ensemble des CVE présentées
- Les produits étant en fin de vie, aucun correctif n’est disponible.
- Une surveillance des journaux d'activité est recommandée.