CSRF уразливості в D-Link DGS-3000-10TC

17:21 28.10.2017

16.09.2017

У серпні, 28.08.2017, я виявив Cross-Site Request Forgery уразливості в D-Link DGS-3000-10TC. Це друга частина дірок в цьому комутаторі.

Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DAP-1360 та D-Link DGS-3000-10TC.

Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.

28.10.2017

Cross-Site Request Forgery (WASC-09):

Панель адміністратора має CSRF уразливості в усьому функціоналі. Наприклад в цьому функціоналі.

Додати нового адміна:

D-Link DGS-3000-10TC CSRF-1.html

Змінити пароль в нового адміна:

D-Link DGS-3000-10TC CSRF-2.html

Видалити нового адміна:

D-Link DGS-3000-10TC CSRF-3.html

Уразлива версія D-Link DGS-3000-10TC, Firmware Version 2.00.006. Дана модель з іншими прошивками також повинна бути вразливою.


Leave a Reply

You must be logged in to post a comment.