D-Link DCS-2530L < 1.07 和 DCS-2670L < 2.03 多個漏洞
high Nessus Plugin ID 316488
語言:
概要
IP 攝影機受到命令插入弱點影響。說明
根據其自我報告版本,D-Link 網路攝影機 DCS-2530L 或之前 1.05.05,以及 DCS-2670L 或之前 2.02 受到多個漏洞的影響。- 受影響的裝置中存在命令插入弱點,這是由於 cgi-bin/ddns_enc.cgi 中特殊元素的無效化不當所致。經過身份驗證的遠程攻擊者可以通過操縱結構命令分隔符來執行任意命令來利用這一點。(CVE-2020-25079)
- 受影響的裝置中存在繞過身份驗證弱點,這是因為 /config/getuser 端點允許遠端管理員密碼洩露。未經驗證的遠端攻擊者可以透過傳送直接 HTTP 要求來利用此漏洞來繞過驗證並以系統管理權限執行任意動作。(CVE-2020-25078)
請注意,Nessus 尚未針對此問題進行測試,而是僅依賴相機自我報告的型號和版本。
解決方案
針對受影響的型號套用廠商提供的 Hotfix,或升級至支援的裝置。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 316488
檔案名稱: d-link_ip_camera_CVE-2020-25079.nasl
版本: 1.2
類型: Remote
系列: CGI abuses
已發布: 2026/5/22
已更新: 2026/5/23
支援的感應器: Nessus
風險資訊
VPR
風險因素: High
分數: 7.4
CVSS v2
風險因素: High
基本分數: 9
時間性分數: 7.8
媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2020-25079
CVSS v3
風險因素: High
基本分數: 8.8
時間性分數: 8.4
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:H/RL:O/RC:C
弱點資訊
CPE: cpe:/a:dlink:camera
必要的 KB 項目: installed_sw/D-Link IP Camera
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2020/7/26
弱點發布日期: 2020/9/2
CISA 已知遭惡意利用弱點到期日: 2025/8/26
參考資訊
CVE: CVE-2020-25078, CVE-2020-25079