D-Link 最近釋出了針對其網路管理套件中發現的兩個重大漏洞的補丁。D-Link 這些漏洞可能會使威脅行為者繞過身份驗證,並在遠程執行任意代碼。公司已經修復了發現於其廣泛用於各種企業的網路管理和管理目的 D-View 的兩個缺陷。
這些漏洞是由2020年底參加趨勢科技零日計劃(ZDI)的安全研究人員發現的。在該計劃中,發現了多個漏洞,其中兩個突出:CVE-2023-32165 和CVE-2023-32169。前者是一個遠程代碼執行漏洞,可用於使用 SYSTEM 權限運行惡意代碼。與此同時,後者是一個身份驗證繞過漏洞,允許升級權限,未經授權地訪問信息,並在某些情況下安裝惡意軟件。
這兩個缺陷都帶有9.8(危急)的嚴重性得分。問題影響 D-View 8 版本 2.9.1.27 及更早版本。 D-Link 已經約於兩個星期前釋出了補丁,並敦促用戶盡快應用。該公司在一份安全公告中說:“一旦 D-Link 得知報告的安全問題,我們迅速開始調查並開始開發安全補丁。”
然而,補丁目前仍處於 beta 軟件或熱修復版本,這意味著未來可能會進行其他更改。這也意味著引入補丁後,D-View 可能會不穩定或崩潰。供應商還建議用戶通過檢查底部標籤或 Web 配置面板來驗證其端點的硬件版本,以便他們不會下載錯誤的固件更新。
發現漏洞的完整清單如下:ZDI-CAN-19496:D-Link D-View TftpSendFileThread 目錄遍歷信息泄露漏洞,ZDI-CAN-19497:D-Link D-View TftpReceiveFileHandler 目錄遍歷遠程代碼執行漏洞,ZDI-CAN-19527:D-Link D-View uploadFile 目錄遍歷任意文件創建漏洞,ZDI-CAN-19529:D-Link D-View uploadMib 目錄遍歷任意文件創建或刪除漏洞,以及 ZDI-CAN-19534:D-Link D-View showUser 不適當授權特權升級。
