CRITICAL🇬🇧 English

CVE-2023-44411

D-Link D-View: hardcoded credentials umożliwiają bypass uwierzytelnienia

CVSS 9.8v3.0pub. 2024-05-03upd. 2025-08-07

W oprogramowaniu D-Link D-View 8 odkryto krytyczną podatność polegającą na użyciu zakodowanych na stałe danych uwierzytelniających (hard-coded credentials) w klasie InstallApplication. Umożliwia ona zdalnym atakującym ominięcie mechanizmu uwierzytelnienia bez żadnych uprawnień wstępnych.

Pokaż oryginał (EN)

D-Link D-View InstallApplication Use of Hard-coded Credentials Authentication Bypass Vulnerability. This vulnerability allows remote attackers to bypass authentication on affected installations of D-Link D-View. Authentication is not required to exploit this vulnerability. The specific flaw exists within the InstallApplication class. The class contains a hard-coded password for the remotely reachable database. An attacker can leverage this vulnerability to bypass authentication on the system. Was ZDI-CAN-19553.

🤖 Analiza AI
Jak działa

Klasa InstallApplication zawiera zakodowane na stałe hasło do zdalnie dostępnej bazy danych. Atakujący, bez konieczności posiadania jakichkolwiek poświadczeń ani interakcji z użytkownikiem, może wykorzystać to hasło do nawiązania połączenia z bazą danych i ominięcia mechanizmów uwierzytelnienia systemu. Podatność jest dostępna zdalnie przez sieć, a niska złożoność ataku sprawia, że jej wykorzystanie jest stosunkowo proste.

Skutki

Atakujący może całkowicie ominąć uwierzytelnienie systemu D-Link D-View, uzyskując nieautoryzowany dostęp do bazy danych i potencjalnie przejmując kontrolę nad systemem zarządzania siecią, co skutkuje naruszeniem poufności, integralności i dostępności danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się ograniczenie dostępu sieciowego do interfejsu D-View wyłącznie do zaufanych hostów oraz segmentację sieci uniemożliwiającą nieautoryzowany dostęp do systemu zarządzania.

Kogo dotyczy

D-Link D-View 8 — konkretne wersje wskazane w referencjach producenta oraz w poradniku Zero Day Initiative (ZDI-CAN-19553)

Uwagi

Podatność została zgłoszona w ramach programu Zero Day Initiative pod identyfikatorem ZDI-CAN-19553 i opublikowana jako poradnik ZDI-23-1509.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Dlink D View 8

    APP
    Dlink
    1.0.2.13
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-5296CRITICAL9.8PL ✓ten sam produkt

D-Link D-View 8 — pominięcie uwierzytelnienia przez zakodowany klucz kryptograficzny

CVE-2023-44414CRITICAL9.8PL ✓ten sam produkt

D-Link D-View: RCE przez ujawnioną niebezpieczną funkcję w coreservice_action_script

CVE-2023-32165CRITICAL9.8PL ✓ten sam produkt

D-Link D-View: RCE przez path traversal w TftpReceiveFileHandler

CVE-2023-32169CRITICAL9.8PL ✓ten sam produkt

D-Link D-View: pominięcie uwierzytelnienia przez hardkodowany klucz kryptograficzny

CVE-2023-7163CRITICAL10.0PL ✓ten sam produkt

D-Link D-View 8: Manipulacja inwentarzem sond umożliwia RCE i DoS