Quer apoiar meu projeto de divulgação de noticias? E ainda divulgar suas redes sociais
Agora é possivel Veja a noticia completa em: https://www.bleepingcomputer.com/news/security/d-link-fixes-auth-bypass-and-rce-flaws-in-d-view-8-software/
Fonte: https://www.bleepingcomputer.com
Achou esse artigo interessante? Siga canalfsociety em
Instagram,
Facebook,
Telegram,
Twitter,
App Boletim Tec e
App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos. #samirnews #samir #news #boletimtec #dlink #corrige #falhas #de #desvio #de #autenticação #e #rce #no #software #dview #8
A D-Link corrigiu duas vulnerabilidades de gravidade crítica em seu pacote de gerenciamento de rede D-View 8 que podem permitir que invasores remotos ignorem a autenticação e executem código arbitrário.
O D-View é um conjunto de gerenciamento de rede desenvolvido pelo fornecedor taiwanês de soluções de rede D-Link, usado por empresas de todos os tamanhos para monitorar desempenho, controlar configurações de dispositivos, criar mapas de rede e, em geral, tornar o gerenciamento e administração de rede mais eficiente e menos demorado. consumindo.
Pesquisadores de segurança que participam da Zero Day Initiative (ZDI) da Trend Micro descobriram seis falhas que afetam o D-View no final do ano passado e as relataram ao fornecedor em 23 de dezembro de 2022.
Duas das vulnerabilidades descobertas são de gravidade crítica (pontuação CVSS: 9,8) e oferecem aos invasores não autenticados forte influência sobre as instalações afetadas.
A primeira falha é rastreada como CVE-2023-32165 e é uma falha de execução remota de código decorrente da falta de validação adequada de um caminho fornecido pelo usuário antes de usá-lo em operações de arquivo.
Um invasor que aproveite a vulnerabilidade pode executar código com privilégios de SISTEMA, que para o Windows, o código será executado com os privilégios mais altos, permitindo potencialmente o controle completo do sistema.
A segunda falha crítica recebeu o identificador CVE-2023-32169 e é um problema de desvio de autenticação resultante do uso de uma chave criptográfica codificada na classe TokenUtils do software.
A exploração dessa falha permite escalonamento de privilégios, acesso não autorizado a informações, alteração de configurações e configurações do software e até mesmo instalação de backdoors e malware.
A D-Link lançou um comunicado sobre todas as seis falhas relatadas pelo ZDI, que afetam o D-View 8 versão 2.0.1.27 e abaixo, instando os administradores a atualizar para a versão corrigida, 2.0.1.28, lançada em 17 de maio de 2023.
"Assim que a D-Link tomou conhecimento dos problemas de segurança relatados, imediatamente iniciamos nossa investigação e desenvolvemos patches de segurança", diz o boletim de segurança da D-Link.
Embora o fornecedor "recomende fortemente" a todos os usuários a instalação da atualização de segurança, o anúncio também adverte que o patch é "software beta ou lançamento de hotfix", ainda em fase de teste final.
Isso significa que a atualização para 2.0.1.28 pode causar problemas ou introduzir instabilidade no D-View, mas a gravidade das falhas provavelmente supera quaisquer possíveis problemas de desempenho.
A empresa também aconselha os usuários a verificar a revisão de hardware de seus produtos verificando a etiqueta inferior ou o painel de configuração da web antes de baixar a atualização de firmware correspondente.
Postar um comentário