Vulnerabilidades de ejecución remota de código (RCE) y omisión de autenticación en producto D-Link

26/05/2023 Noticias 0

Se ha reportado un nuevo aviso de seguridad sobre seis vulnerabilidades que afectan al software D-View 8 de D-Link, que permitirían a un atacante realizar ejecución remota de código (RCE), omisión de autenticación, entre otros. 

Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Crítica”, 3 (tres) de severidad “Alta” y 1 (una) de severidad “Media”. Las mismas se detallan a continuación: 

  • CVE-2023-32169, de severidad “Crítica”, con puntuación de 9.8. Esta vulnerabilidad se debe a una falla de la clave criptográfica perteneciente a la clase TokenUtils de D-View. Esto permitiría a un atacante remoto no autenticado realizar omisión de autenticación en las instalaciones afectadas. 
  • CVE-2023-32165, de severidad “Crítica”, con puntuación de 9.8. Esta vulnerabilidad se debe a la falta de validación adecuada de una ruta de acceso proporcionada por el usuario en D-View.  Esto permitiría a un atacante remoto no autenticado realizar ejecución de código arbitrario en las instalaciones afectadas. 
  • CVE-2023-32166, de severidad “Alta”, con puntuación de 8.1. Esta vulnerabilidad se debe a la falta de validación adecuada de una ruta de acceso proporcionada por el usuario en D-View.  Esto permitiría a un atacante remoto autenticado crear archivos arbitrarios en las instalaciones afectadas. 

Puede acceder al listado completo de vulnerabilidades aquí 

Los productos afectados son:  

  • D-View 8, versión 2.0.1.27 y anteriores. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace: 

Referencias: 

Compartir: