CSRF уразливості в D-Link DGS-3000-10TC
17:21 28.10.201716.09.2017
У серпні, 28.08.2017, я виявив Cross-Site Request Forgery уразливості в D-Link DGS-3000-10TC. Це друга частина дірок в цьому комутаторі.
Раніше я писав про уразливості в пристроях даної компанії, зокрема в D-Link DAP-1360 та D-Link DGS-3000-10TC.
Детальна інформація про уразливості з’явиться пізніше. Спочатку повідомлю розробникам пристрою.
28.10.2017
Cross-Site Request Forgery (WASC-09):
Панель адміністратора має CSRF уразливості в усьому функціоналі. Наприклад в цьому функціоналі.
Додати нового адміна:
D-Link DGS-3000-10TC CSRF-1.html
Змінити пароль в нового адміна:
D-Link DGS-3000-10TC CSRF-2.html
Видалити нового адміна:
D-Link DGS-3000-10TC CSRF-3.html
Уразлива версія D-Link DGS-3000-10TC, Firmware Version 2.00.006. Дана модель з іншими прошивками також повинна бути вразливою.