CRITICAL🇬🇧 English

CVE-2023-32169

D-Link D-View: pominięcie uwierzytelnienia przez hardkodowany klucz kryptograficzny

CVSS 9.8v3.0pub. 2024-05-03upd. 2025-08-07

Podatność w oprogramowaniu D-Link D-View pozwala zdalnym atakującym na ominięcie mechanizmu uwierzytelnienia bez posiadania jakichkolwiek poświadczeń. Wynika z użycia stałego, wbudowanego na stałe klucza kryptograficznego, co czyni ją szczególnie groźną ze względu na pełny dostęp do systemu bez autoryzacji.

Pokaż oryginał (EN)

D-Link D-View Use of Hard-coded Cryptographic Key Authentication Bypass Vulnerability. This vulnerability allows remote attackers to bypass authentication on affected installations of D-Link D-View. Authentication is not required to exploit this vulnerability. The specific flaw exists within the TokenUtils class. The issue results from a hard-coded cryptographic key. An attacker can leverage this vulnerability to bypass authentication on the system. . Was ZDI-CAN-19659.

🤖 Analiza AI
Jak działa

Problem tkwi w klasie TokenUtils oprogramowania D-View, która wykorzystuje hardkodowany klucz kryptograficzny do obsługi tokenów uwierzytelniających. Ponieważ klucz jest znany (lub możliwy do odtworzenia), atakujący może samodzielnie wygenerować prawidłowe tokeny uwierzytelniające. W efekcie możliwe jest ominięcie całego mechanizmu uwierzytelnienia bez znajomości jakichkolwiek danych logowania.

Skutki

Atakujący uzyskuje nieautoryzowany dostęp do systemu D-Link D-View z poziomu sieci, co może prowadzić do pełnego przejęcia kontroli nad aplikacją, ujawnienia poufnych danych oraz modyfikacji konfiguracji zarządzanych urządzeń sieciowych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (ogłoszenie D-Link SAP10332 dostępne pod adresem supportannouncement.us.dlink.com)

Kogo dotyczy

D-Link D-View 8 — konkretne wersje wskazane w referencjach producenta (SAP10332)

Uwagi

Podatność została zgłoszona przez Zero Day Initiative jako ZDI-CAN-19659 i opublikowana jako ZDI-23-714.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Dlink D View 8

    APP
    Dlink
    ≤ 2.0.1.27
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-5296CRITICAL9.8PL ✓ten sam produkt

D-Link D-View 8 — pominięcie uwierzytelnienia przez zakodowany klucz kryptograficzny

CVE-2023-44414CRITICAL9.8PL ✓ten sam produkt

D-Link D-View: RCE przez ujawnioną niebezpieczną funkcję w coreservice_action_script

CVE-2023-32165CRITICAL9.8PL ✓ten sam produkt

D-Link D-View: RCE przez path traversal w TftpReceiveFileHandler

CVE-2023-44411CRITICAL9.8PL ✓ten sam produkt

D-Link D-View: hardcoded credentials umożliwiają bypass uwierzytelnienia

CVE-2023-7163CRITICAL10.0PL ✓ten sam produkt

D-Link D-View 8: Manipulacja inwentarzem sond umożliwia RCE i DoS

CVE-2023-32169 — D-Link D-View: pominięcie uwierzytelnienia przez hardkodowany klucz kryptograficzny — CRITICAL 9.8 | CVEbaza.pl