CVSS: 7.0EPSS: 0%CPEs: 3EXPL: 1CVE-2018-18767
https://notcve.org/view.php?id=CVE-2018-18767
An issue was discovered in D-Link 'myDlink Baby App' version 2.04.06. Whenever actions are performed from the app (e.g., change camera settings or play lullabies), it communicates directly with the Wi-Fi camera (D-Link 825L firmware 1.08) with the credentials (username and password) in base64 cleartext. An attacker could conduct an MitM attack on the local network and very easily obtain these credentials. Se ha descubierto un problema en la aplicación "myDlink Baby App", de D-Link, en su versión 2.04.06. Cuando se realizan acciones desde la aplicación (como el cambio de las opciones de la cámara o la reproducción de nanas), se comunica directamente con la cámara wifi (D-Link 825L con firmware en versión 1.08) con las credenciales (nombre de usuario y contraseña) en texto claro base64. • https://dojo.bullguard.com/dojo-by-bullguard/blog/i-got-my-eyeon-you-security-vulnerabilities-in-baby-monitor • CWE-326: Inadequate Encryption Strength •
CVSS: 8.1EPSS: 0%CPEs: 1EXPL: 0CVE-2018-7698
https://notcve.org/view.php?id=CVE-2018-7698
An issue was discovered in D-Link mydlink+ 3.8.5 build 259 for DCS-933L 1.05.04 and DCS-934L 1.05.04 devices. The mydlink+ app sends the username and password for connected D-Link cameras (such as DCS-933L and DCS-934L) unencrypted from the app to the camera, allowing attackers to obtain these credentials and gain control of the camera including the ability to view the camera's stream and make changes without the user's knowledge. Se ha descubierto un problema en D-Link mydlink+ 3.8.5 build 259 para dispositivos DCS-933L 1.05.04 y DCS-934L 1.05.04. La aplicación mydlink+ envía el nombre de usuario y la contraseña para las cámaras D-Link conectadas (como DCS-933L y DCS-934L) sin cifrar de la aplicación a la cámara. Esto permite que atacantes obtengan estas credenciales y obtengan el control de la cámara, incluyendo la capacidad de ver la transmisión de la cámara y realizar cambios sin que el usuario lo sepa. • https://blog.nickleghorn.com/2019/06/16/d-link-security-cameras-using-mydlink-app-leak-passwords • CWE-522: Insufficiently Protected Credentials •