D-Link DNS-320L/DNS-325/DNS-327L/DNS-340L à 20240403 HTTP GET Request /cgi-bin/nas_sharing.cgi user authentification faible

Une vulnérabilité a été trouvé dans D-Link DNS-320L, DNS-325, DNS-327L and DNS-340L à 20240403 et classée très critique. Ceci affecte une fonction inconnue du fichier /cgi-bin/nas_sharing.cgi du composant HTTP GET Request Handler. A cause de la manipulation du paramètre user de la valeur d'entrée messagebus avec une valeur d'entrée inconnue mène à une vulnérabilité de classe authentification faible. La notice d'information est disponible en téléchargement sur github.com. Cette vulnérabilité a été nommée CVE-2024-3272. L'attaque peut être initialisée à distance. Des details techniques sont connus. Il est déclaré comme hautement fonctionnel. L'exploit est disponible au téléchargment sur github.com. La meilleure solution suggérée pour atténuer le problème est d'utiliser un produit alternatif. Une solution envisageable a été publiée même avant, et non après après la publication de la vulnérabilité.

Chronologie

Utilisateur

148

Domaine

vulnerability_cvss3_meta_tempscore3
vulnerability_cvss4_vuldb_btscore2
vulnerability_cvss3_vuldb_tempscore2
vulnerability_cvss2_vuldb_tempscore2
vulnerability_cvss4_vuldb_e2

Commit Conf

90%38
70%21
50%16
80%9
98%9

Approve Conf

90%38
80%29
70%17
98%9
95%3
IDEngagéUtilisateurDomaineChangementRemarquesAcceptéStatutC
1625575209/05/2024VulD...cvss3_cna_basescore9.8see CVSS documentation09/05/2024accepté
80
1625575109/05/2024VulD...cvss2_nvd_basescore10.0nist.gov09/05/2024accepté
80
1625575009/05/2024VulD...cvss3_meta_tempscore9.7see CVSS documentation09/05/2024accepté
80
1625574909/05/2024VulD...cve_cnaVulDBnvd.nist.gov09/05/2024accepté
70
1625574809/05/2024VulD...cvss3_cna_aHnvd.nist.gov09/05/2024accepté
70
1625574709/05/2024VulD...cvss3_cna_iHnvd.nist.gov09/05/2024accepté
70
1625574609/05/2024VulD...cvss3_cna_cHnvd.nist.gov09/05/2024accepté
70
1625574509/05/2024VulD...cvss3_cna_sUnvd.nist.gov09/05/2024accepté
70
1625574409/05/2024VulD...cvss3_cna_uiNnvd.nist.gov09/05/2024accepté
70
1625574309/05/2024VulD...cvss3_cna_prNnvd.nist.gov09/05/2024accepté
70
1625574209/05/2024VulD...cvss3_cna_acLnvd.nist.gov09/05/2024accepté
70
1625574109/05/2024VulD...cvss3_cna_avNnvd.nist.gov09/05/2024accepté
70
1625574009/05/2024VulD...cvss2_nvd_aiCnvd.nist.gov09/05/2024accepté
70
1625573909/05/2024VulD...cvss2_nvd_iiCnvd.nist.gov09/05/2024accepté
70
1625573809/05/2024VulD...cvss2_nvd_ciCnvd.nist.gov09/05/2024accepté
70
1625573709/05/2024VulD...cvss2_nvd_auNnvd.nist.gov09/05/2024accepté
70
1625573609/05/2024VulD...cvss2_nvd_acLnvd.nist.gov09/05/2024accepté
70
1625573509/05/2024VulD...cvss2_nvd_avNnvd.nist.gov09/05/2024accepté
70
1625573409/05/2024VulD...cve_nvd_summary** UNSUPPORTED WHEN ASSIGNED ** A vulnerability, which was classified as very critical, has been found in D-Link DNS-320L, DNS-325, DNS-327L and DNS-340L up to 20240403. This issue affects some unknown processing of the file /cgi-bin/nas_sharing.cgi of the component HTTP GET Request Handler. The manipulation of the argument user with the input messagebus leads to hard-coded credentials. The attack may be initiated remotely. The exploit has been disclosed to the public and may be used. The associated identifier of this vulnerability is VDB-259283. NOTE: This vulnerability only affects products that are no longer supported by the maintainer. NOTE: Vendor was contacted early and confirmed immediately that the product is end-of-life. It should be retired and replaced.cve.mitre.org09/05/2024accepté
70
1625573309/05/2024VulD...cve_assigned1712095200 (03/04/2024)cve.mitre.org09/05/2024accepté
70

78 plus d'entrées ne sont pas affichées

🔒 Login Required

You need to signup and login to see more of the remaining 78 results.

PrécédentAperçuSuivant

Do you need the next level of professionalism?

Upgrade your account now!