CRITICAL🇬🇧 English

CVE-2023-44414

D-Link D-View: RCE przez ujawnioną niebezpieczną funkcję w coreservice_action_script

CVSS 9.8v3.0pub. 2024-05-03upd. 2025-08-07

Podatność w oprogramowaniu D-Link D-View umożliwia zdalnym atakującym wykonanie dowolnego kodu bez uwierzytelnienia. Ze względu na brak wymogu autoryzacji oraz najwyższy wynik CVSS 9.8, stanowi krytyczne zagrożenie dla każdej instalacji tego produktu.

Pokaż oryginał (EN)

D-Link D-View coreservice_action_script Exposed Dangerous Function Remote Code Execution Vulnerability. This vulnerability allows remote attackers to execute arbitrary code on affected installations of D-Link D-View. Authentication is not required to exploit this vulnerability. The specific flaw exists within the coreservice_action_script action. The issue results from the exposure of a dangerous function. An attacker can leverage this vulnerability to execute code in the context of SYSTEM. Was ZDI-CAN-19573.

🤖 Analiza AI
Jak działa

Podatność znajduje się w akcji coreservice_action_script, gdzie dochodzi do ujawnienia niebezpiecznej funkcji (CWE-749 — Exposed Dangerous Method or Function). Atakujący może wywołać tę funkcję zdalnie, bez żadnego uwierzytelnienia, za pośrednictwem sieci. Skuteczne wykorzystanie podatności pozwala na wykonanie kodu w kontekście konta SYSTEM, czyli z najwyższymi uprawnieniami w systemie operacyjnym Windows.

Skutki

Atakujący uzyskuje możliwość wykonania dowolnego kodu z uprawnieniami SYSTEM, co oznacza pełne przejęcie kontroli nad zaatakowanym urządzeniem lub hostem, na którym działa D-Link D-View. Możliwe jest naruszenie poufności, integralności oraz dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się śledzenie oficjalnych komunikatów D-Link oraz adwizoriów Zero Day Initiative (ZDI-23-1512). Do czasu wdrożenia poprawki należy rozważyć ograniczenie dostępu sieciowego do usługi D-View wyłącznie do zaufanych hostów poprzez firewall lub segmentację sieci.

Kogo dotyczy

D-Link D-View 8 — wersje wskazane w referencjach producenta oraz adwizoriach ZDI (ZDI-23-1512)

Uwagi

Podatność została zgłoszona w ramach programu Zero Day Initiative pod identyfikatorem ZDI-CAN-19573 i opublikowana jako ZDI-23-1512.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Dlink D View 8

    APP
    Dlink
    1.0.2.13
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2024-5296CRITICAL9.8PL ✓ten sam produkt

D-Link D-View 8 — pominięcie uwierzytelnienia przez zakodowany klucz kryptograficzny

CVE-2023-44411CRITICAL9.8PL ✓ten sam produkt

D-Link D-View: hardcoded credentials umożliwiają bypass uwierzytelnienia

CVE-2023-32165CRITICAL9.8PL ✓ten sam produkt

D-Link D-View: RCE przez path traversal w TftpReceiveFileHandler

CVE-2023-32169CRITICAL9.8PL ✓ten sam produkt

D-Link D-View: pominięcie uwierzytelnienia przez hardkodowany klucz kryptograficzny

CVE-2023-7163CRITICAL10.0PL ✓ten sam produkt

D-Link D-View 8: Manipulacja inwentarzem sond umożliwia RCE i DoS

CVE-2023-44414 — D-Link D-View: RCE przez ujawnioną niebezpieczną funkcję w coreservice_action_script — CRITICAL 9.8 | CVEbaza.pl