D-Link 路由器部分產品發現可進行遠端執行程式碼漏洞
- 發布單位:TWCERT/CC
- 更新日期:2019-04-03
- 點閱次數:494
CVE編號
CVE-2018-20674
內文
概述:
資安研究單位 CyCarrier CSIRT 研究員 Harry Huang 發現部分 D-Link 路由器產品內含兩種安全漏洞,D-Link 已經提供修補漏洞用之更新版本韌體。
編註:
這兩個被發現的漏洞,可讓入侵者以認證使用者的身分跳過(bypass)或遠端執行指令;不過攻擊行動必須在區域網路的 web-GUI 環境下進行,除非該路由器的廣域網路 web-GUI 設定界面已啟用(預設值為關閉)。
影響產品
DIR-850L Rev. A 所有版本 /DIR-805L Rev. B 所有版本 /DIR-880L Rev.A 所有版本/ DIR-822 Rev. C1 所有版本 /DIR-822-US Rev. C1 所有版本
解決辦法
用戶可檢視路由器產品之標籤,確認產品型號是否名列受影響列表,並進行韌體更新以修補漏洞。