漏洞起因
设计错误
危险等级
低
影响系统
DLink DPH 150SE
DLink DPH 150F1
DLink DPH 150E
不受影响系统
危害
远程攻击者可利用此漏洞获得敏感信息,进行拒绝服务攻击或修改设备配置。
攻击所需条件
攻击者必须访问Dlink DPH。
漏洞信息
Dlink DPH是一款IP电话解决方案。
Dlink DPH 150SE/E/F1 IP电弧啊存在多个安全漏洞:
1)Dlink DPH 150SE的WEB管理接口存在安全漏洞,允许未验证用户获得包括管理员密码的配置文件信息。
2)Dlink DPH 150SE的WEB管理接口存在安全漏洞,允许未验证用户上传配置文件到设备。
3)Dlink DPH 150SE的WEB管理接口存在安全漏洞,允许未验证用户修改设备LCD显示屏上的消息显示。
4)Dlink DPH 150SE的WEB管理接口存在安全漏洞,允许未验证用户重启设备。
测试方法
厂商解决方案
用户可下载使用如下供应商提供的更新固件:
http://ftp.dlink.ru/pub/VoIP/DPH-150SE_E_F1/Firmware/DPH-150SE_2a21V1_7_
367_149T20110715114133(0715135102).z
漏洞提供者
Alexander Zaitsev, Gleb Gritsai and Yuri Goltsev, Positive Research Lab
0 条评论。