CVE-2023-51625

D-Link DCS-8300LHV2 ONVIF Vložení příkazu SetSystemDateAndTime Chyba zabezpečení vzdáleného spuštění kódu. Tato chyba zabezpečení umožňuje útočníkům ze sítě spustit libovolný kód na postižených instalacích IP kamer D-Link DCS-8300LHV2. Ačkoli je ke zneužití této chyby zabezpečení vyžadováno ověření, stávající mechanismus ověřování lze obejít. Specifická chyba existuje v implementaci rozhraní ONVIF API, které naslouchá na TCP portu 80. Při analýze prvku XML sch:TZ proces řádně neověřuje uživatelem dodaný řetězec, než jej použije k provedení systémového volání. Útočník může tuto chybu zabezpečení využít ke spuštění kódu v kontextu root. Byl ZDI-CAN-21319.

MISC: https://www.zerodayinitiative.com/advisories/ZDI-24-045/
MISC: https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10370
CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-51625

14 let
257 zemí
709k uživatelů
4650k výpočtů
Logo www.kelcom.cz
Logo www.elsec.cz
Logo www.eleksys.cz
Logo secutek.cz
Logo www.clarecontrols.com
Logo www.a1securitycameras.com