События

В D-Link Central WiFiManager исправлены опасные уязвимости

Компания D-Link исправила в своем инструменте для управления беспроводными сетями Central WiFiManager ряд уязвимостей, позволяющих осуществить межсайтовый скриптинг и удаленно выполнить код.

Программный контроллер Central WiFiManager помогает администраторам упорядочивать рабочие процессы управления беспроводными сетями на предприятиях. Для удаленного управления и мониторинга сетей используется централизованный сервер. Инструмент может развертываться как локально, так и в облаке.

Исследователи из SecureAuth/CoreSecurity обнаружили в ПО четыре опасные уязвимости, в том числе позволяющие выполнить произвольный код. Проблема затрагивает версию Central WiFiManager для Windows 1.03 и остальные.

Уязвимость CVE-2018-17440 существует из-за наличия учетных данных по умолчанию (admin/admin) на FTP-сервере web-приложения, запущенном на порту 9000. С помощью учетных данных злоумышленник может подключиться к атакуемому серверу и загрузить особым образом сконфигурированный PHP-файл, который при запросе приведет к выполнению кода.

Уязвимость CVE-2018-17442 связана функцией Central WiFiManager, позволяющей пользователям загружать RAR-архивы. Авторизованный злоумышленник может воспользоваться ею для загрузки архива с PHP-файлом, содержимое которого будет выполнено в контексте web-приложения.

Еще две уязвимости позволяют осуществить межсайтовый скриптинг и затрагивают функционал UpdateSite (CVE-2018-17443) и addUser (CVE-2018-17441), а точнее, sitename и usernameparameters соответственно.

Исследователи уведомили производителя о проблемах 4 июня текущего года, и D-Link исправила их в версии 1.03R0100-Beta1.

Источник

Автор: Сергей Куприянов
8.10.2018 (21:46)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.