D-Link DAP-1860 安全漏洞风险通告
发布时间 2019-12-10漏洞编号和级别
CVE编号:CVE-2019-19597,危险级别:严重,CVSS分值:官方未评定
CVE编号:CVE-2019-19598,危险级别:中危,CVSS分值:官方未评定
影响版本
|
Model |
Revision |
Affected FW |
Fixed FW |
|
DAP-1860 |
All Ax revisions |
v1.04b01 and below (older) |
v1.04b03 Beta Hot Fix |
漏洞概述
D-Link DAP-1860是中国台湾友讯(D-Link)公司的一款WiFi范围扩展器。
CVE-2019-19597
攻击者可借助HNAP_AUTH HTTP头中的shell元字符利用该漏洞以root权限执行任意代码。
CVE-2019-19598
攻击者可借助HNAP_AUTH头中的时间戳值利用该漏洞未经身份验证便可访问管理员功能。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10135
参考链接
https://chung96vn.wordpress.com/2019/11/15/d-link-dap-1860-vulnerabilities/
京公网安备11010802024551号