Se ha reportado un nuevo aviso de seguridad sobre seis vulnerabilidades que afectan al software D-View 8 de D-Link, que permitirían a un atacante realizar ejecución remota de código (RCE), omisión de autenticación, entre otros.
Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “Crítica”, 3 (tres) de severidad “Alta” y 1 (una) de severidad “Media”. Las mismas se detallan a continuación:
- CVE-2023-32169, de severidad “Crítica”, con puntuación de 9.8. Esta vulnerabilidad se debe a una falla de la clave criptográfica perteneciente a la clase TokenUtils de D-View. Esto permitiría a un atacante remoto no autenticado realizar omisión de autenticación en las instalaciones afectadas.
- CVE-2023-32165, de severidad “Crítica”, con puntuación de 9.8. Esta vulnerabilidad se debe a la falta de validación adecuada de una ruta de acceso proporcionada por el usuario en D-View. Esto permitiría a un atacante remoto no autenticado realizar ejecución de código arbitrario en las instalaciones afectadas.
- CVE-2023-32166, de severidad “Alta”, con puntuación de 8.1. Esta vulnerabilidad se debe a la falta de validación adecuada de una ruta de acceso proporcionada por el usuario en D-View. Esto permitiría a un atacante remoto autenticado crear archivos arbitrarios en las instalaciones afectadas.
Puede acceder al listado completo de vulnerabilidades aquí
Los productos afectados son:
- D-View 8, versión 2.0.1.27 y anteriores.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace:
Referencias:
- https://www.bleepingcomputer.com/news/security/d-link-fixes-auth-bypass-and-rce-flaws-in-d-view-8-software/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32169
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32165
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32166
- https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10332
- https://www.zerodayinitiative.com/advisories/ZDI-23-714/
- https://www.zerodayinitiative.com/advisories/published/