登录页面验证管理员身份核心代码_D-Link路由器远程代码执行漏洞不会被修补

最新推荐文章于 2021-05-29 12:16:31 发布
最新推荐文章于 2021-05-29 12:16:31 发布
阅读量189 收藏
点赞数
文章标签: 登录页面验证管理员身份核心代码

考虑到产品的使用期限,安全问题将无法解决。

研究人员公开披露了一系列D-Link路由器中存在严重的远程执行代码漏洞。

fcf2e2db9c5402486f313ec976b3e95a.png

上周,Fortinet的FortiGuard Labs 表示,该问题的核心漏洞(CVE-2019-16920)于2019年9月被发现。

根据Fortinet研究人员Thanh Nguyen Nguyen的说法,未经身份验证的命令注入漏洞会影响DIR-655,DIR-866L,DIR-652和DHP-1565产品系列中的D-Link固件。

该漏洞被描述为RCE,攻击者将任意输入发送到“ PingTest”网关接口,从而导致命令注入和整个系统受损。已向该严重错误发布CVSS v3.1基本分数9.8和CVSS v2.0基本分数10.0。

为了触发安全漏洞,Fortinet说攻击者可以远程执行未经身份验证的登录操作。

5cc1f9a8c54fbc03e4128c7e2c30b69c.png

错误的身份验证检查将允许代码执行用户是否具有执行权限的权限,以便通过PingTest发送POST HTTP请求,并让攻击者获取管理员凭据或安装后门。

安全研究人员于9月22日向D-Link披露了他们的发现。在24小时内,硬件供应商确认了此漏洞,三天后,D-Link表示,由于产品已获得生命周期(EOL)支持,因此没有补丁将会被释放。

考虑到这些路由器的使用年限,D-Link选择不发布修补程序也就不足为奇了。我们的设备及其固件都具有到期日期,并且最终支持也将终止,因此,这些路由器的用户应考虑更换其过时的产品,以降低被利用的风险。

但是,并非D-Link曾经做出的每个与安全相关的决定都可以认为是合理的。

f29fe909050ff24e2ec5c8f959720a80.png

在相关新闻中,D-Link最近同意与美国联邦贸易委员会(FTC)达成和解,以平息有关未能处理漏洞报告和错误陈述其产品安全性的指控。

作为协议的一部分,供应商将为路由器和与Internet连接的产品创建一个新的安全计划,并将在未来十年内接受安全审核。

weixin_39638464
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
路由器管理系统html代码,192.168.1.5 路由器登录管理界面操作步骤
weixin_29062255的博客
06-09 7540
路由器品牌通常会使用192.168.1.5作为其路由器中该默认网关的A类IP地址。在其本地局域网络中,它可用于创建您自己的个人网络。192.168.1.5192.168.1.5路由器登录管理很多人会把IP地址经常拼写错误。为了避免这种情况,您需要知道正确的IP地址。在输入这个IP地址的时候很容易输错很多错别字。例如把192.168.1.5拼写错误成192.168.l.5导致打不开路由器界面。怎么进...
ServiceMesh(一)简介&linkerd和istio初探
kevin的博客
01-09 824
ServiceMesh(一)简介&linkerd和istio初探 文章目录ServiceMesh(一)简介&linkerd和istio初探一. 服务通信方式演变二. 什么是ServiceMesh三. Mesh解决了什么问题四. Mesh架构&实现Linkerd架构实践注入原理1.注入本质2.手动注入3.自动注入4.注入原理Istio架构实践注入原理1.注入的本质2.手动istio注入3.自动Istio注入4.原理 一. 服务通信方式演变 参考Phil Calcada大佬的文章《Pat
TOTOLINK路由器192.168.0.1登录页面打不开解决方法
10-01
主要介绍了TOTOLINK路由器192.168.0.1登录页面打不开解决方法,需要的朋友可以参考下
思科路由器怎么进入?Linksys进入登陆页面的方法图解
10-01
每个新的无线路由器都需要进入登陆页面进行某些设置才能正常使用,那么,思科路由器怎么进入登陆页面呢?针对问题,本文就为大家图文介绍Linksys进入登陆页面的方法
asp命令执行语句】_DLink远程代码执行漏洞(CVE201916920)漏洞分析
weixin_42300435的博客
12-29 975
背景:2019年9月,FortiGuard 实验室发现并报告了D-Link 多款产品中含有未经 身份验证的命令注入漏洞(FG-VD-19-117 /CVE-2019-16920 ),该漏洞可能会导致远程执行代码,危害等级高。根据 FortiGuard实验室的报告,该漏洞在以下D-Link产品的最新固件中存在:DIR-655 、DIR-866L 、DIR-652 、DHP-1565...
D-LINK路由器开启远程管理配置图文教程
10-01
主要介绍了D-LINK路由器开启远程管理配置图文教程,开启路由器远程管理功能,可以帮助不懂的人配置一些东西,需要的朋友可以参考下
CVE-2020-24581 D-Link DSL-2888A 远程命令执行漏洞分析1
08-03
然而,与之相关的是另一个不安全的身份验证漏洞(CVE-2020-24580),该漏洞使得攻击者无需正确密码即可访问路由器的管理界面。 漏洞编号为CVE-2020-24581和CVE-2020-24579,可通过特定的网络指纹(如“body=DSL-...
浅谈D-Link系列路由器漏洞挖掘入门
10-02
本文将带你进入D-Link系列路由器漏洞挖掘的世界,让你了解如何从零开始探索路由器安全的奥秘。首先,我们来谈谈为什么要关注路由器漏洞以及如何进行准备工作。 D-Link系列路由器作为广泛使用的家用和小型企业设备,...
D-Link 路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告.pdf
02-28
近日,国家信息安全漏洞共享平台(CNVD)收录了D-Link DIR系列路由器身份验证信息泄露漏洞远程命令执行漏洞(CNVD-2017-20002、CNVD-2017-20001)。远程攻击者利用漏洞可获取路由器后台登录凭证并执行任意代码。...
tp-link_exploit:TP-Link路由器漏洞利用
03-13
如果任何攻击者将其请求发送给Referer Header并设置Referer: : 无需身份验证,并且攻击者无需身份验证即可执行路由器的操作。 以下是一些您可以看到的示例。 但是,攻击者无需身份验证即可在路由器执行几乎所有...
通达OA使用手册(一)
通达OA二次开发 联系QQ2524837118
12-13 4432
第一章引言    1.1 编写目的    本用户使用手册目的是将通达 OA 系统的各类操作和功能加以描述,以指导  用户更快速正确的使用本系统。该手册分为以下几个部分:引言、功能介绍、管  理员手册、用户手册、OA 精灵使用手册和移动版 OA 精灵使用手册。    1.2 系统要求    1.2.1 硬件环境  硬
友讯(D-Link)、趋势网络路由器远程代码执行漏洞
weixin_34345560的博客
09-01 223
由于使用了Realtek瑞昱公司存在漏洞的软件开发工具包(SDK),友讯科技、趋势网络以及其他品牌路由器很容易被攻击者远程执行任意代码。 涉及企业 瑞昱公司(Realtek)、友讯科技(D-Link)、趋势网络(TRENDnet)及其他(更多受影响的厂商没有完整披露)。 漏洞详情 瑞昱miniigd SOAP服务器上存在一个严重缺陷。由于未能在执行系统...
D-Link系列家用路由器漏洞分析总结
Hello World.c
04-27 2191
D-Link系列家用路由器漏洞分析总结 ⚡ 尚未了解清楚 ❗ 已编写好完整POC ❓ 未能编写完整POC ❌ 暂时不能实际验证 DCS-2530L CVE-2020-25078 ❗ 敏感信息泄露 D-Link DCS-1100 || DCS-1130 CVE-2017-8416 ⚡ DIR-850L cgi动态web服务器 CVE-2017-3193 ❗ 认证前栈溢出 CVE-2017-14421 ❗ 路由器后门 DIR-816 独立web服务器 CVE-2021-27114 ❓ 认证后栈溢出 CVE
signature=e3020ad5caa17ee07f1f9c55b406f82e,yarn-error.log
热门推荐
weixin_42515340的博客
05-29 1万+
Arguments:D:\Program Files\nodejs\node.exe D:\Program Files (x86)\Yarn\bin\yarn.jsPATH:C:\Program Files\NVIDIA GPU Computing Toolkit\CUDA\v10.0\bin;C:\Program Files\NVIDIA GPU Computing Toolkit\CUDA\v...
D-Link DAP-1860:远程命令执行和认证绕过漏洞
NOSEC2019的博客
12-10 914
介绍 2019年9月,我在D-Link Access Point(DAP-1860)上发现了两个漏洞,分别是命令注入导致的远程代码执行身份验证绕过。这两个漏洞能帮助攻击者在不进行身份验证的情况下远程控制设备。如果你的上网设备是从D-Link购买的,并且型号是DAP-1860,请立刻更新固件或联系厂商寻求帮助,因为我发现的漏洞影响了当时最新版本的DAP-1860固件。 以下是DAP-1860的W...
D-Link系列路由器漏洞挖掘
weixin_30872337的博客
08-13 441
参考 http://www.freebuf.com/articles/terminal/153176.html https://paper.seebug.org/429/ http://www.s3cur1ty.de/m1adv2013-017 http://seclists.org/bugtraq/2013/Dec/11 http://www.devttys0.com/wp-conte...
D-Link DIR878路由器固件命令执行漏洞
Anansi的博客
07-31 2099
经过之前几篇的漏洞挖掘练习,对于普通linux内核与VxWorks内核的固件漏洞进行了分析,这次来分析一下被加密过的固件漏洞。 以D-Link DIR878为例,此路由器的固件从1.04版之后开始对之后的版本固件进行加密,而解密程序就在最后一个不加密的版本固件里也就是1.04版,所以这次我们需要先下载两个版本的固件,固件下载地址:D-Link。 关于固件加解密可参考D-Link DIR-882 路由器加密固件的解密 在下载固件时可能会找不到1.04版本的,直接找1.10版本的即可这两个版本在一起。 ..
出现身份验证错误 要求的函数不受支持_对两个DLink路由器身份验证绕过漏洞的分析...
weixin_39854681的博客
12-08 277
今年2月,D-Link发布了 针对两个身份验证绕过漏洞CVE-2020-8863 和 CVE-2020-8864的固件 补丁程序,这些漏洞 影响了D-Link DIR-882,DIR-878和DIR-867路由器。这些漏洞存在于HNAP协议的处理中。https://supportannouncement.us.dlink.com/announcement/publication.aspx...
D-Link与TP-Link路由器配置指南
"这份文档是关于D-Link网络设备的研究,...总结起来,这份资源提供了丰富的D-Link路由器配置指南,同时引入了Email的基本概念,对网络管理和安全设置有深入探讨,是网络管理员或IT爱好者学习网络设备操作的宝贵资料。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值