CVE-2023-51625

D-Link DCS-8300LHV2 ONVIF Vložení příkazu SetSystemDateAndTime Chyba zabezpečení vzdáleného spuštění kódu. Tato chyba zabezpečení umožňuje útočníkům ze sítě spustit libovolný kód na postižených instalacích IP kamer D-Link DCS-8300LHV2. Ačkoli je ke zneužití této chyby zabezpečení vyžadováno ověření, stávající mechanismus ověřování lze obejít. Specifická chyba existuje v implementaci rozhraní ONVIF API, které naslouchá na TCP portu 80. Při analýze prvku XML sch:TZ proces řádně neověřuje uživatelem dodaný řetězec, než jej použije k provedení systémového volání. Útočník může tuto chybu zabezpečení využít ke spuštění kódu v kontextu root. Byl ZDI-CAN-21319.

MISC: https://www.zerodayinitiative.com/advisories/ZDI-24-045/
MISC: https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10370
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-51625

15 let
257 zemí
726k uživatelů
4734k výpočtů
Logo www.clarecontrols.com
Logo www.use-ip.co.uk
Logo secutek.cz
Logo ipcamtalk.com
Logo www.elsec.cz
Logo blog.camcloud.com