D-Link(友讯)路由器曝远程文件上传及命令注入漏洞(已发布安全更新)

怪狗 2016-7-31 Exploit 0 0

漏洞一:文件上传

攻击者可在存在漏洞的路由器上远程上传自己的文件到受害者设备上,这样一来攻击者便可进行创建、修改、删除信息的操作。另外攻击者还可利用漏洞在受害者设备上执行任意代码。

受影响的路由器型号有:

DCS-930L,DCS-931L,DCS-932L, DCS-933L

之前报道说是1.04版本之前的路由器固件都存在漏洞,但是,还远不止这些,最近的公告中明显表明影响范围再次扩大了,2.0.17-b62版本之前的固件也都受影响。

漏洞二:远程注入

第二个漏洞仍然是固件漏洞,主要存在于1.11版本的DAP-1320 Rev Ax 固件上。该固件的更新机制上存在命令注入漏洞,远程未授权的攻击者可以在受害者设备上执行一些恶意命令。这一攻击需要使用普通并易获得的工具来劫持、操纵网络通讯。

安全建议

目前以上漏洞已修复,使用以上版本路由器的用户应尽快更新路由器固件。另外,在此还要再加一个漏洞修复公告:DIR-626L,808L,820L,826L,830L,836L型号的家用路由器上存在的漏洞也已修复,请用户们更新到最新的版本。

 

原文地址:http://www.77169.com/exploits/2015/20150316160200.shtm

转载请注明来自华盟网,本文标题:《D-Link(友讯)路由器曝远程文件上传及命令注入漏洞(已发布安全更新)》

喜欢 (0) 发布评论
发表评论