Vulnérabilité dans plusieurs logiciels de routeurs D-Link

Date de publication :

CVE-2022-1262[Score CVSS v3.1 : 7.8]

L’injection d’une commande dans le fichier binaire vulnérable /bin/protest de plusieurs logiciels de routeurs D-Link permet à un attaquant ayant accès à l'interface de ligne de commande à distance, d'exécuter des commandes arbitraires avec les privilèges les plus élevés.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

    Élévation de privilèges

    Exécution de code arbitraire

Criticité

    Score CVSS v3.1: 7.8

La faille est activement exploitée

    Non

Un correctif existe

    Non

Une mesure de contournement existe

    Non

Les vulnérabilités exploitées sont du type

Détails sur l’exploitation

    Vecteur d’attaque : Local.

    Complexité de l’attaque : Élevée.

    Privilèges nécessaires pour réaliser l’attaque : Authentification utilisateur simple.

    Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.

    L’exploitation de la faille permet d’obtenir des droits privilégiés : Oui.

Composants vulnérables

Les logiciels de routeurs D-Link aux versions suivantes :

    DIR-1360 A1 en versions 1.02B03, 1.03B02, 1.11B04, 1.00B15, 1.01B03 et 1.01B03

    DIR-1360 en version 1.11B04 Beta pour connexion WPA2 version 2020/11/03

    DIR-1760 en version 1.01B04 et version 1.11B03 Beta pour connexion WPA2 version 2020/11/03

    DIR-1960 A1 en versions 1.02B01, 1.03B03 et 1.11B03

    DIR-1960 en version 1.11B03 Beta pour connexion WPA2 version 2020/11/03

    DIR-2640 A1 en versions 1.01B04 et 1.11B02

    DIR-2640 en version 1.11B02 Beta pour connexion WPA2 version 2020/11/03

    DIR-2660 A1 en versions 1.04B03 et 1.11B04

    DIR-2660 en version 1.00B14, 1.01B03, 1.02B01 et 1.03B04

    DIR-2660 en version 1.11B04 Beta pour connexion WPA2 version 2020/11/03

    DIR-3040 A1 en versions 1.11B02, 1.12B01, 1.13B03 et 1.20B03

    DIR-3040 en version 1.13B03 Beta pour connexion WPA2 version 2020/11/03

    DIR-3060 A1 en versions 1.01B07, 1.11B04 et 1.02B03

    DIR-3060 A1 en version 1.11B02 Beta pour correctif réseau wifi invité du 2020/01/19

    DIR-3060 en versions 1.00B12 et 1.11B04 Beta pour connexion WPA2 version 2020/11/03

    DIR-867 A1 en versions 1.20B10, 1.10B04 et 1.30B07

    DIR-878 en versions 1.20B05 et 1.30B08

    DIR-882 A1 en versions 1.30B06 et 1.30B10

    DIR-882 en version 1.20B06

Solutions ou recommandations

  • Aucun correctif n’étant disponible à ce jour, il est conseillé de remplacer l’équipement vulnérable par un équipement équivalent.

Liens