Multiples vulnérabilités dans D-Link
Date de publication :
CVE-2022-26258[Score CVSS v3.1: 9.8] (critique)
Une vérification insuffisante du nom de l’appareil renseigné par l’utilisateur dans une fonction du fichier /lan.asp de D-Link DIR-820L permet à un attaquant, en envoyant une requête spécifiquement forgée, d’exécuter du code arbitraire sur le système.
CVE-2022-28958[Score CVSS v3.1:9.8] (critique)
Une vérification insuffisante de paramètres envoyés par l’utilisateur dans une fonction du fichier hareport.php permet à un attaquant, en envoyant des requêtes spécifiquement forgées, d’exécuter du code arbitraire sur le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de code arbitraire
Criticité
Score CVSS v3.1: 9.8
La faille est activement exploitée
Oui, pour l’ensemble des CVE présentées.
Un correctif existe
Oui, pour l’ensemble des CVE présentées.
Une mesure de contournement existe
Non, pour l’ensemble des CVE présentées.
La vulnérabilité exploitée est du type
Pour l’ensemble des CVE présentées
CWE-94: Improper Control of Generation of Code ('Code Injection')
Détails sur l’exploitation
Pour l’ensemble des CVE présentées
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Pour la CVE-2022-26258
D-Link DIR-820L 1.05.B03
Pour la CVE-2022-28958
-
D-Link DIR-816L 2.06.B01
Solutions ou recommandations
Pour l’ensemble des CVE présentées
- Les produits étant en fin de vie, aucun correctif n’est disponible.
- Une surveillance des journaux d'activité est recommandée.