Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2018-01346

Опубликовано: 12 окт. 2018
Источник: fstec
CVSS3: 8.6
CVSS2: 7.8
EPSS Высокий

Описание

Уязвимость веб-интерфейса микропрограммного обеспечения маршрутизаторов D-Link связана с недостаточной проверкой пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить доступ на чтение произвольных файлов с помощью специально сформированного HTTP-запроса

Вендор

D-Link Corp.

Наименование ПО

DWR-116
DIR-140L
DIR-640L
DWR-512
DWR-712
DWR-912
DWR-921
DWR-111

Версия ПО

до 1.06 включительно (DWR-116)
до 1.02 включительно (DIR-140L)
до 1.02 включительно (DIR-640L)
до 2.02 включительно (DWR-512)
до 2.02 включительно (DWR-712)
до 2.02 включительно (DWR-912)
до 2.02 включительно (DWR-921)
до 1.01 включительно (DWR-111)

Тип ПО

ПО сетевого программно-аппаратного средства

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,6)

Возможные меры по устранению уязвимости

Ограничение доступа веб-интерфейсу устройства из недоверенных источников

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 99%
0.86728
Высокий

8.6 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2018-10822

CVSS3: 7.5
nvd
больше 7 лет назад

Directory traversal vulnerability in the web interface on D-Link DWR-116 through 1.06, DIR-140L through 1.02, DIR-640L through 1.02, DWR-512 through 2.02, DWR-712 through 2.02, DWR-912 through 2.02, DWR-921 through 2.02, and DWR-111 through 1.01 devices allows remote attackers to read arbitrary files via a /.. or // after "GET /uir" in an HTTP request. NOTE: this vulnerability exists because of an incorrect fix for CVE-2017-6190.

github логотип

GHSA-qr3w-mv9r-8gf8

CVSS3: 7.5
github
больше 3 лет назад

Directory traversal vulnerability in the web interface on D-Link DWR-116 through 1.06, DIR-140L through 1.02, DIR-640L through 1.02, DWR-512 through 2.02, DWR-712 through 2.02, DWR-912 through 2.02, DWR-921 through 2.02, and DWR-111 through 1.01 devices allows remote attackers to read arbitrary files via a /.. or // after "GET /uir" in an HTTP request. NOTE: this vulnerability exists because of an incorrect fix for CVE-2017-6190.

EPSS

Процентиль: 99%
0.86728
Высокий

8.6 High

CVSS3

7.8 High

CVSS2