D-Link DIR-513 версии 1.10 содержит уязвимость критического уровня. При обработке запросов POST, связанных с кодами проверки в /goform/formLogin, он вводит /goform/getAuthCode, но не может отфильтровать значение параметра FILECODE, что приводит к уязвимости обхода пути.
Показать оригинальное описание (EN)
D-Link DIR-513 version 1.10 contains a critical-level vulnerability. When processing POST requests related to verification codes in /goform/formLogin, it enters /goform/getAuthCode but fails to filter the value of the FILECODE parameter, resulting in a path traversal vulnerability.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Dlink Dir-513_Firmware
cpe:2.3:o:dlink:dir-513_firmware:1.10:*:*:*:*:*:*:*
|
— | — |
|
Dlink Dir-513
cpe:2.3:h:dlink:dir-513:-:*:*:*:*:*:*:*
|
— | — |