D-Link исправила опасные уязвимости в своих VPN-маршрутизаторах

Специалисты компании Digital Defense сообщили об обнаруженных ими уязвимостях в VPN-маршрутизаторах D-Link. Узнав об уязвимостях, производитель в кратчайшие сроки выпустил исправления.

Исправления представлены в виде «горячих» патчей для затронутых проблемой версий прошивки и моделей устройств. Официальный релиз обновления для прошивки запланирован на середину текущего месяца. Пользователям рекомендуется установить версию прошивки своих устройств и в случае, если она входит в перечень уязвимых, установить соответствующее исправление.

Уязвимости затрагивают модели маршрутизаторов D-Link DSR-150, DSR-250, DSR-500 и DSR-1000AC с версиями прошивки 3.17 и более ранними.

CVE-2020-25757 – уязвимость, позволяющая неавторизованному злоумышленнику удаленно внедрять команды с привилегиями суперпользователя.

CVE-2020-25759 – уязвимость, позволяющая авторизованному злоумышленнику удаленно внедрять команды с привилегиями суперпользователя.

CVE-2020-25758 – уязвимость, позволяющая авторизованному злоумышленнику внедрять файлы crontab. Однако, по словам производителя, это не уязвимость, а предусмотренная функция.