D-Link DIR-600 ルータのファームウェアにおけるクロスサイトリクエストフォージェリの脆弱性
| Title |
D-Link DIR-600 ルータのファームウェアにおけるクロスサイトリクエストフォージェリの脆弱性
|
| Summary |
D-Link DIR-600 ルータ (rev. Bx) のファームウェアには、クロスサイトリクエストフォージェリの脆弱性が存在します。
|
| Possible impacts |
第三者により、管理者の認証をハイジャックされ、以下の影響を受ける可能性があります。 (1) hedwig.cgi の巧妙に細工された設定モジュールを介して、管理者アカウントを作成される (2) hedwig.cgi の巧妙に細工された設定モジュールを介して、リモート管理を有効にされる (3) pigwidgeon.cgi の SETCFG、SAVE、ACTIVATE アクションを介して、新しい構成設定を有効にされる (4) diagnostic.php の ping アクションを介して、ping を送信される |
| Solution |
ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
March 7, 2014, midnight |
| Registration Date |
Jan. 15, 2015, 7:03 p.m. |
| Last Update |
Jan. 15, 2015, 7:03 p.m. |
|
CVSS2.0 : 警告
|
| Score |
6.8
|
| Vector |
AV:N/AC:M/Au:N/C:P/I:P/A:P |
Affected System
| D-Link Systems, Inc. |
|
DIR-600
|
|
DIR-600 ファームウェア 2.17b02 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2015年01月15日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
NVD Vulnerability Information
CVE-2014-100005
| Summary |
Multiple cross-site request forgery (CSRF) vulnerabilities in D-Link DIR-600 router (rev. Bx) with firmware before 2.17b02 allow remote attackers to hijack the authentication of administrators for requests that (1) create an administrator account or (2) enable remote management via a crafted configuration module to hedwig.cgi, (3) activate new configuration settings via a SETCFG,SAVE,ACTIVATE action to pigwidgeon.cgi, or (4) send a ping via a ping action to diagnostic.php.
|
| Publication Date |
Jan. 13, 2015, 8:59 p.m. |
| Registration Date |
Jan. 26, 2021, 3:06 p.m. |
| Last Update |
Nov. 21, 2024, 11:03 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:o:dlink:dir-600_firmware:*:*:*:*:*:*:*:* |
|
2.16ww |
|
|
| execution environment |
| 1 |
cpe:2.3:h:dlink:dir-600:-:*:*:*:*:*:*:* |
Related information, measures and tools
Common Vulnerabilities List