![]() |
![]() |
||
|
![]() ![]() ![]() Cette vulnérabilité a pour référence CVE-2018-19300 et peut être exploitée par un utilisateur malveillant pour exécuter n'importe quelle commande système interprétable par le shell Linux Bash sans en avoir évidemment l'autorisation. Il suffit pour cela d'envoyer une requête HTTP GET formée d'une certaine façon à destination du répertoire /EXCU_SHELL qui sert normalement à obtenir des informations sur le matériel et sur le firmware. Grâce à cela, il est possible de prendre le contrôle du produit et, on imagine, de potentiellement intercepter le trafic réseau qui y transite. D-Link a été informé du problème dès le mois de novembre 2018 et a semblé s'en préoccuper mais Greenbone a dû relancer le constructeur à plusieurs reprises pour que des solutions soient finalement proposées au-delà du délai habituel de non divulgation de trois mois. La majorité des produits affectés bénéficient désormais d'un firmware correctif et cela ne tardera plus pour certains autres. Mises à jour D-Link pour la vulnérabilité CVE-2018-19300
![]() ![]() ![]() ![]() ![]() ![]() |
|
![]() |