D-Link DIR Router قبل 1.04 Parameter Validation diagnostic.php dst تنفيذ التعليمات البرمجية عن بُعد
| CVSS الدرجة المؤقتة للميتا | سعر الإكسبلويت الحالي (≈) | درجة اهتمام CTI |
|---|---|---|
| 8.8 | $0-$5k | 0.00 |
الملخص
تم اكتشاف ثغرة مصنفة كـ مشكلة صعبة الحل في D-Link DIR Router. تتعلق المشكلة بالوظيفة $software_function في الملف diagnostic.php في المكون Parameter Validation Handler. عند التلاعب بالوسيط dst ينتج تنفيذ التعليمات البرمجية عن بُعد.
بالإضافة إلى ذلك، يتوفر استغلال.
من المستحسن ترقية المكون المتضرر.
التفاصيل
تم اكتشاف ثغرة مصنفة كـ مشكلة صعبة الحل في D-Link DIR Router. تتعلق المشكلة بالوظيفة $software_function في الملف diagnostic.php في المكون Parameter Validation Handler. عند التلاعب بالوسيط dst ينتج تنفيذ التعليمات البرمجية عن بُعد. تم العثور على الخلل في 14/12/2012. المشكلة تم الإبلاغ عنها بتاريخ 05/04/2013 بواسطة Michael Messner (m1k3) مع s3cur1ty كـ استغلال (موقع إلكتروني). تمت مشاركة التنبيه للتنزيل على s3cur1ty.de. تم نشر هذه البيانات بموافقة الشركة المالكة.
تتوفر معلومات تقنية. معدل انتشار هذه الثغرة أقل من المعدل العام. بالإضافة إلى ذلك، يتوفر استغلال. تم الإعلان عن الثغرة للعامة ومن الممكن استغلالها.
إذا كان هناك قيمة لـ إثبات المفهوم، فسيتم التصريح بأنه إثبات المفهوم. تم توفير الاستغلال للتنزيل على github.com. تم التعامل مع الثغرة كاستغلال يوم-صفر غير علني لمدة لا تقل عن 112 يومًا. باعتباره ثغرة يوم الصفر، كان السعر التقديري في السوق السوداء حوالي $25k-$100k.
الترقية إلى الإصدار 1.04 قادرة على حل هذه المشكلة. من المستحسن ترقية المكون المتضرر.
إذا كانت قائمة قواعد بيانات المصدر تحتوي على عناصر، فإن الثغرة موثقة أيضًا في قواعد بيانات ثغرات أخرى: SecurityFocus (BID 58938).
متأثر
- DIR-300 2.13b01/2.14b01
- DIR-412 1.14WWB02
- DIR-600 2.12/2.13
- DIR-645 1.02/1.03
- DIR-815 1.03b02
- DIR-456U 1.00ONG
- DIR-110 1.01
منتج
النوع
المجهز
الأسم
الرخصة
موقع إلكتروني
- المجهز: https://www.dlink.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB متجه: 🔍VulDB الاعتمادية: 🔍
CVSSv3
VulDB الدرجة الأساسية للميتا: 9.8VulDB الدرجة المؤقتة للميتا: 8.8
VulDB الدرجة الأساسية: 9.8
VulDB الدرجة المؤقتة: 8.8
VulDB متجه: 🔍
VulDB الاعتمادية: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| متجه | التعقيد | توثيق | السرية | الأمانة | التوفر |
|---|---|---|---|---|---|
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
| افتح | افتح | افتح | افتح | افتح | افتح |
VulDB الدرجة الأساسية: 🔍
VulDB الدرجة المؤقتة: 🔍
VulDB الاعتمادية: 🔍
استغلال
الفئة: تنفيذ التعليمات البرمجية عن بُعدCWE: غير معروف
CAPEC: 🔍
ATT&CK: 🔍
ملموس: لا
محلي: لا
عن بُعد: نعم
التوفر: 🔍
وصول: عام
الحالة: إثبات المفهوم
المؤلف: m-1-k-3
لغة البرمجة: 🔍
تحميل: 🔍
Google Hack: 🔍
تقدير السعر: 🔍
تقدير السعر الحالي: 🔍
| 0-Day | افتح | افتح | افتح | افتح |
|---|---|---|---|---|
| اليوم | افتح | افتح | افتح | افتح |
Exploit-DB: 🔍
استخبارات التهديد
الاهتمام: 🔍الفاعلون النشطون: 🔍
مجموعات APT النشطة: 🔍
إجراءات مضادة
التوصية: ترقيةالحالة: 🔍
زمن الاستجابة: 🔍
زمن الهجوم الفوري: 🔍
زمن التعرض: 🔍
وقت تأخير الاستغلال: 🔍
ترقية: DIR Router 1.04
الجدول الزمني
14/12/2012 🔍05/04/2013 🔍
05/04/2013 🔍
05/04/2013 🔍
08/04/2013 🔍
09/04/2013 🔍
10/04/2013 🔍
26/08/2017 🔍
المصادر
المجهز: dlink.comاستشارة: s3cur1ty.de
باحث: Michael Messner (m1k3)
منظمة: s3cur1ty
الحالة: مؤكد
منسق: 🔍
GCVE (VulDB): GCVE-100-8221
SecurityFocus: 58938 - Multiple D-Link Products Command Injection and Multiple Information Disclosue Vulnerabilities
OSVDB: 92144
scip Labs: https://www.scip.ch/en/?labs.20161013
اقرأ أيضاً: 🔍
إدخال
تم الإنشاء: 10/04/2013 06:30 PMتم التحديث: 26/08/2017 06:39 AM
التغييرات: 10/04/2013 06:30 PM (58), 26/08/2017 06:39 AM (6)
كامل: 🔍
المتعهد:
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
لا توجد تعليقات بعد اللغات: ar + fa + en.
يرجى تسجيل الدخول حتى تتمكن من التعليق