CRITICAL✓ PATCH🇬🇧 English

CVE-2024-33375

LB-LINK BL-W1210M — przechowywanie danych uwierzytelniających w postaci jawnej

CVSS 9.8v3.1pub. 2024-06-14upd. 2025-05-30

Router LB-LINK BL-W1210M w wersji 2.0 przechowuje dane uwierzytelniające użytkowników w postaci niezaszyfrowanej (plaintext) w firmware urządzenia. Jest to krytyczna podatność, ponieważ umożliwia odczytanie haseł przez każdego, kto uzyska dostęp do pamięci routera lub jego firmware.

Pokaż oryginał (EN)

LB-LINK BL-W1210M v2.0 was discovered to store user credentials in plaintext within the router's firmware.

🤖 Analiza AI
Jak działa

Firmware routera nie stosuje żadnego mechanizmu szyfrowania ani hashowania do ochrony przechowywanych danych uwierzytelniających. Osoba, która uzyska dostęp do pliku firmware — np. poprzez ekstrakcję z pamięci flash, pobranie obrazu firmware lub inną podatność na tym samym urządzeniu — może odczytać hasła w postaci jawnej bez potrzeby ich łamania. CWE-256 (Plaintext Storage of a Password) potwierdza brak jakiejkolwiek ochrony kryptograficznej przechowywanych poświadczeń.

Skutki

Atakujący może uzyskać pełne dane uwierzytelniające do routera, co prowadzi do przejęcia kontroli nad urządzeniem, modyfikacji jego konfiguracji sieciowej oraz potencjalnego lateral movement w sieci lokalnej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Dodatkowo zaleca się zmianę wszystkich haseł skonfigurowanych na urządzeniu oraz ograniczenie fizycznego i sieciowego dostępu do interfejsu zarządzania routerem do czasu wdrożenia poprawki.

Kogo dotyczy

LB-LINK BL-W1210M Firmware w wersji 2.0

Uwagi

Podatność została zgłoszona przez Shravana Singha Rathore i opisana w ramach szerszego Security Advisory dotyczącego wielu podatności w routerze LB-LINK BL-W1210M, opublikowanego przez RedFoxSec.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Lb Link Bl W1210m

    HW
    Lb-Link
    2.0
  • Lb Link Bl W1210m Firmware

    OS
    Lb-Link
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2024-33377HIGH8.1ten sam produkt

LB-LINK BL-W1210M v2.0 was discovered to contain a clickjacking vulnerability via the Administrator login page...

CVE-2024-33373MEDIUM6.3ten sam produkt

An issue in the LB-LINK BL-W1210M v2.0 router allows attackers to bypass password complexity requirements and ...

CVE-2025-29063CRITICAL9.8PL ✓ten sam vendor

RCE w LB-Link BL-AC2100 — nieprawidłowa obsługa parametru enable

CVE-2025-29062CRITICAL9.8PL ✓ten sam vendor

RCE w LB-Link BL-AC2100 przez parametry set_LimitClient_cfg

CVE-2024-51431CRITICAL9.8PL ✓ten sam vendor

Zakodowane na stałe dane uwierzytelniające w routerze LB-LINK BL-WR1300H