CRITICAL🇬🇧 English

CVE-2024-5296

D-Link D-View 8 — pominięcie uwierzytelnienia przez zakodowany klucz kryptograficzny

CVSS 9.8v3.0pub. 2024-05-23upd. 2025-08-06

Oprogramowanie D-Link D-View zawiera zakodowany na stałe klucz kryptograficzny w klasie TokenUtils, co pozwala zdalnym atakującym na całkowite pominięcie mechanizmu uwierzytelnienia. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL) i nie wymaga żadnych uprawnień ani interakcji użytkownika.

Pokaż oryginał (EN)

D-Link D-View Use of Hard-coded Cryptographic Key Authentication Bypass Vulnerability. This vulnerability allows remote attackers to bypass authentication on affected installations of D-Link D-View. Authentication is not required to exploit this vulnerability. The specific flaw exists within the TokenUtils class. The issue results from a hard-coded cryptographic key. An attacker can leverage this vulnerability to bypass authentication on the system. Was ZDI-CAN-21991.

🤖 Analiza AI
Jak działa

W klasie TokenUtils aplikacji D-Link D-View zastosowano stały, niezmienialny klucz kryptograficzny (hard-coded key) używany do generowania lub walidacji tokenów uwierzytelniających. Atakujący, znając ten klucz, może samodzielnie wygenerować prawidłowy token sesji lub poświadczenia uwierzytelniające. W efekcie system akceptuje spreparowane dane jako poprawną tożsamość bez konieczności podawania rzeczywistych danych uwierzytelniających. Atak jest możliwy zdalnie, przez sieć, bez jakichkolwiek wcześniejszych uprawnień.

Skutki

Atakujący może całkowicie ominąć mechanizm uwierzytelnienia i uzyskać nieautoryzowany dostęp do systemu D-Link D-View, co może prowadzić do pełnego przejęcia kontroli nad aplikacją, ujawnienia wrażliwych danych oraz modyfikacji konfiguracji zarządzanej infrastruktury sieciowej.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Szczegółowe informacje o poprawionych wersjach dostępne są w poradniku ZDI-24-447 (https://www.zerodayinitiative.com/advisories/ZDI-24-447/). Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do interfejsu D-View wyłącznie do zaufanych hostów oraz izolację systemu od publicznej sieci Internet.

Kogo dotyczy

D-Link D-View 8 — konkretne wersje wskazane w referencjach producenta oraz w poradniku Zero Day Initiative (ZDI-24-447)

Uwagi

Podatność została zgłoszona w ramach programu Zero Day Initiative pod identyfikatorem ZDI-CAN-21991 i opublikowana jako ZDI-24-447.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Dlink D View 8

    APP
    Dlink
    2.0.1.28
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2023-44411CRITICAL9.8PL ✓ten sam produkt

D-Link D-View: hardcoded credentials umożliwiają bypass uwierzytelnienia

CVE-2023-44414CRITICAL9.8PL ✓ten sam produkt

D-Link D-View: RCE przez ujawnioną niebezpieczną funkcję w coreservice_action_script

CVE-2023-32165CRITICAL9.8PL ✓ten sam produkt

D-Link D-View: RCE przez path traversal w TftpReceiveFileHandler

CVE-2023-32169CRITICAL9.8PL ✓ten sam produkt

D-Link D-View: pominięcie uwierzytelnienia przez hardkodowany klucz kryptograficzny

CVE-2023-7163CRITICAL10.0PL ✓ten sam produkt

D-Link D-View 8: Manipulacja inwentarzem sond umożliwia RCE i DoS