Omisión de autenticación en D-Link D-View 8

Omisión de autenticación en D-Link D-View 8
Mié, 20/09/2023 – 08:39

Recursos Afectados

D-View 8, versión 2.0.1.28.

Descripción

Un investigador de Tenable ha descubierto una vulnerabilidad de severidad crítica en el producto D-View de D-Link, cuya explotación podría permitir la omisión de autenticación en dicho producto.

5 – Crítica

Solución

Actualizar a la versión 2.0.2.89.

Detalle

D-View 8 admite el inicio de sesión con una clave de API, pero dicha clave suministrada en el token JWT (accessToken) no se comprueba, si no hay una clave de API configurada para el usuario de inicio de sesión. Con una clave secreta JWT conocida, un atacante remoto, no autenticado, podría crear un token JWT válido y utilizarlo para acceder a API protegidas. Se ha asignado el identificador CVE-2023-5074 para esta vulnerabilidad.

Listado de referencias

Authentication Bypass in D-Link D-View 8

Etiquetas

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Omisión de autenticación en D-Link D-View 8

Información

Enlaces de Soporte

Aviso Legal

Política de Privacidad

Política de Cookies