← volver
CVE-2020-25078

CVE-2020-25078

CVSS 7.5 HIGHEPSS 97.9%● KEV
En resumen

Una falla de seguridad en cámaras D-Link permite que cualquier persona en la red vea la contraseña del administrador sin iniciar sesión. Esto es peligroso porque los atacantes pueden tomar control total de la cámara y de la red que protege.

Detalle técnico

Existe una vulnerabilidad de divulgación de información sin autenticación en el endpoint /config/getuser de dispositivos D-Link DCS-2530L y DCS-2670L. Un atacante remoto puede acceder a este endpoint sin autenticación para recuperar credenciales de administrador, lo que permite el compromiso total del dispositivo y movimiento lateral potencial en la red.

Resumen generado y traducido por IA a partir de la descripción oficial.
An issue was discovered on D-Link DCS-2530L before 1.06.01 Hotfix and DCS-2670L through 2.02 devices. The unauthenticated /config/getuser endpoint allows for remote administrator password disclosure.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Productos afectados
n/a · n/a
PoCs públicas encontradas3
githubgithub.com/MzzdToT/CVE-2020-250784githubgithub.com/chinaYozz/CVE-2020-250780githubgithub.com/flags-alt/abyss-c20
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10180https://support.dlink.com/productinfo.aspx?m=DCS-2530Lhttps://twitter.com/Dogonsecurity/status/1273251236167516161https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-25078