Vulnérabilités dans des produits D-Link

Date de publication : 16/07/2020

Des vulnérabilités ont été découvertes dans la gamme de routeurs DIR-610 de D-Link, n’étant à ce jour plus maintenue par la société. Un attaquant distant exploitant ces vulnérabilités peut obtenir des informations sensibles ainsi qu’exécuter des commandes arbitraires.

CVE-2020-9376 [Score CVSS v3 : 7.5] : Une vulnérabilité de type fuite d’informations sensibles a été découverte dans la gamme de routeurs D-Link DIR-610. Un attaquant distant non-authentifié peut obtenir des informations sensibles (comprenant une liste d’utilisateurs et de leurs mots de passe) sur l’appareil via une requête vers une URL non-protégée.

CVE-2020-9377 [Score CVSS v3 : 8.8] : Une vulnérabilité de type exécution de commandes arbitraires a été découverte dans la gamme de routeurs D-Link DIR-610. Un attaquant distant authentifié sur l’appareil peut exécuter des commandes arbitraires sur le système via une requête vers une URL non-protégée.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Fuite d’informations sensibles
Exécution de commandes arbitraires

Criticité

Score CVSS v3 : 7.5 et 8.8

Existence d’un code d’exploitation

Des codes d’exploitation sont disponibles publiquement pour ces deux vulnérabilités.

Composants vulnérables

Routeurs DIR-160

CVE

CVE-2020-9376
CVE-2020-9377

Solutions ou recommandations

Mise en place de correctifs de sécurité

La gamme de produits concernés n’étant plus maintenue, aucun correctif de sécurité n’est disponible pour ces vulnérabilités

Solution de contournement

Aucune solution de contournement n’est disponible

Liens

DIR-610 :: Ax :: Multiple Vulnerabilities on End of Service Life Product