CSRF уразливості в D-Link DVG-5402SP
17:24 29.10.201629.01.2015
У січні, 01.01.2015, я виявив Cross-Site Request Forgery уразливості в D-Link DVG-5402SP VoIP Router. Це друга частина дірок в DVG-5402SP.
Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DCS-2103 та D-Link DVG-5402SP.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.
29.10.2016
Cross-Site Request Forgery (WASC-09):
Зміна пароля адміна:
Зміна пароля користувача:
Вимкнути віддалений доступ у веб адмінку:
Увімкнути віддалений доступ у веб адмінку:
Так само можна змінити будь-які налаштування в адмінці, як то вимкнути telnet доступ.
Cross-Site Request Forgery (WASC-09):
Після зміни налаштувань, їх потрібно зберегти і перезапустити пристрій окремим GET запитом:
http://site/ConfigBackupForm.asp
Уразлива версія D-Link DVG-5402SP, Firmware RU_1.01. Дана модель з іншими прошивками також повинна бути вразливою.