D-Link soluciona varias vulnerabilidades presentes en Central WifiManager

D-Link ha publicado actualizaciones para solucionar varias vulnerabilidades presentes en "Central WifiManager", una herramienta que permite administrar y monitorizar puntos de acceso dentro de una red.

La primera vulnerabilidad, etiquetada con CVE-2018-17440, permitiría la subida de un fichero sin restricciones y la ejecución de código arbitrario. 

La segunda vulnerabilidad permitiría también la subida de un archivo de cualquier tipo, pero requeriría esta vez que el atacante estuviera autenticado. Esta vulnerabilidad tiene asignado el código CVE-2018-17442.

Las dos siguientes permitirían realizar ataques de Cross-Site Scripting a través de los parámetros 'sitename' y 'username'. Estas vulnerabilidades han recibido los códigos CVE-2018-17443 y CVE-2018-17441 respectivamente.

XSS en el parámetro 'sitename'

XSS en el parámetro 'username'

Estas vulnerabilidades ya se encuentran solucionadas a partir de la versión Central WifiManager v1.03r0100-Beta1.

Francisco Salido
fsalido@hispasec.com

Más información:

D-Link Central WiFiManager Software Controller Multiple Vulnerabilities
https://www.coresecurity.com/advisories/d-link-central-wifimanager-software-controller-multiple-vulnerabilities