按 Enter 到主內容區
:::

TWCERT-電子報

:::

D-Link 路由器部分產品發現可進行遠端執行程式碼漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2019-04-03
  • 點閱次數:494
D-Link 路由器部分產品發現可進行遠端執行程式碼漏洞

CVE編號

CVE-2018-20674

內文

概述:

資安研究單位 CyCarrier CSIRT 研究員 Harry Huang 發現部分 D-Link 路由器產品內含兩種安全漏洞,D-Link 已經提供修補漏洞用之更新版本韌體。

編註:
這兩個被發現的漏洞,可讓入侵者以認證使用者的身分跳過(bypass)或遠端執行指令;不過攻擊行動必須在區域網路的 web-GUI 環境下進行,除非該路由器的廣域網路 web-GUI 設定界面已啟用(預設值為關閉)。

影響產品

DIR-850L Rev. A 所有版本 /DIR-805L Rev. B 所有版本 /DIR-880L Rev.A 所有版本/ DIR-822 Rev. C1 所有版本 /DIR-822-US Rev. C1 所有版本

解決辦法

用戶可檢視路由器產品之標籤,確認產品型號是否名列受影響列表,並進行韌體更新以修補漏洞。

相關連結

  1. https://securityadvisories.dlink.com/announcement/publication.aspx?name=SAP10101
  2. https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-20674
回頁首