Hace unos días, Blazej Adamczyk reportó una serie de vulnerabilidades en los dispositivos D-Link que podrían permitir a un atacante hacerse con el control del router, incluso le permitiría ejecutar código directamente.

Los dispositivos afectados son: DWR-116, DWR-512, DWR-712, DWR-912, DWR-921 y DWR-111, aunque también podrían verse afectados otros con el mismo tipo de firmware.

    CVE-2018-10822, posibilidad de leer archivos remotamente y de forma arbitraria vía /.. o // después de un "GET/uir" en una petición HTTP.
    CVE-2018-10823, inyección de comandos.
    CVE-2018-10824, contraseñas almacenadas en un archivo de texto plano.

El problema del directorio transversal (CVE-2018-10822) se debe a una reparación incompleta de la vulnerabilidad CVE-2017-6190, descubierta por Patryk Bogdan.

LEER MAS: https://unaaldia.hispasec.com/2018/10/riesgo-de-intrusiones-en-dispositivos-d.html