Katalog CVE

CVE-2018-25358

Wysokie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

D-Link DIR601 w wersji 2.02NA zawiera podatność na ujawnienie poświadczeń, która pozwala nieautoryzowanym atakującym na uzyskanie wrażliwych danych konfiguracyjnych poprzez manipulację parametrem table_name w żądaniach POST.

Ocena ryzyka

Atakujący mogą uzyskać dostęp do danych administracyjnych oraz kluczy sieci bezprzewodowej w postaci niezaszyfrowanej, co stwarza poważne zagrożenie dla bezpieczeństwa sieci.

Rekomendacja

Zaleca się aktualizację oprogramowania urządzenia do najnowszej wersji oraz ograniczenie dostępu do interfejsu administracyjnego tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

D-Link DIR601 2.02NA contains a credential disclosure vulnerability that allows unauthenticated attackers to retrieve sensitive configuration data by manipulating the table_name parameter in POST requests. Attackers can send requests to /my_cgi.cgi with table_name values like admin_user, wireless_settings, and wireless_security to extract administrative credentials and wireless network keys in clear text.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS