CVE-2017-7851 – D-Link DCS-936L Network Camera - Cross-Site Request Forgery
https://notcve.org/view.php?id=CVE-2017-7851
D-Link DCS-936L devices with firmware before 1.05.07 have an inadequate CSRF protection mechanism that requires the device's IP address to be a substring of the HTTP Referer header. Los dispositivos D-Link DCS-936L con firmware en versiones anteriores a la 1.05.07 tienen un mecanismo de protección CSRF inadecuado que requiere que la dirección IP del dispositivo sea una subcadena de la cabecera HTTP Referer. D-Link DCS-936L suffers from a cross site request forgery vulnerability. • https://www.exploit-db.com/exploits/43146 ftp://ftp2.dlink.com/PRODUCTS/DCS-936L/REVA/BETA/DCS-936L_REVA_RELEASE_NOTES_v1.05.07_EN.pdf https://www.qualys.com/2017/03/26/qsa-2017-03-26/qsa-2017-03-26.pdf • CWE-352: Cross-Site Request Forgery (CSRF) •
CVE-2016-10405
https://notcve.org/view.php?id=CVE-2016-10405
Session fixation vulnerability in D-Link DIR-600L routers (rev. Ax) with firmware before FW1.17.B01 allows remote attackers to hijack web sessions via unspecified vectors. Una vulnerabilidad de fijación de sesión en los routers D-Link DIR-600L (rev. Ax) con firmware anterior al FW1.17.B01 permite a los ataques remotos secuestrar sesiones web mediante vectores no especificados. • ftp://ftp2.dlink.com/SECURITY_ADVISEMENTS/DIR-600L/DIR-600L_REVA_FIRMWARE_PATCH_NOTES_1.17.B01_EN_WW.PDF • CWE-384: Session Fixation •
CVE-2017-10676
https://notcve.org/view.php?id=CVE-2017-10676
On D-Link DIR-600M devices before C1_v3.05ENB01_beta_20170306, XSS was found in the form2userconfig.cgi username parameter. En los dispositivos D-Link DIR-600M anteriores a versión C1_v3.05ENB01_beta_20170306, se encontró un problema de tipo XSS en el parámetro username del archivo form2userconfig.cgi. • ftp://ftp2.dlink.com/SECURITY_ADVISEMENTS/DIR-600M/REVC/DIR-600M_REVC_FIRMWARE_PATCH_NOTES_3.05B01_EN.pdf https://iscouncil.blogspot.com/2017/07/stored-xss-in-d-link-dir-600m-router.html • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVE-2017-9542
https://notcve.org/view.php?id=CVE-2017-9542
D-Link DIR-615 Wireless N 300 Router allows authentication bypass via a modified POST request to login.cgi. This issue occurs because it fails to validate the password field. Successful exploitation of this issue allows an attacker to take control of the affected device. El Enrutador DIR-615 Wireless N 300 de D-Link, permite la omisión de autenticación por medio de una petición POST modificada para el archivo login.cgi. Este problema ocurre porque no puede comprobar el campo password. • http://www.securityfocus.com/bid/98992 https://twitter.com/tiger_tigerboy/status/873458088321220609 https://www.facebook.com/tigerBOY777/videos/1368513696568992 • CWE-287: Improper Authentication •
CVE-2017-7398 – D-Link DIR-615 - Cross-Site Request Forgery
https://notcve.org/view.php?id=CVE-2017-7398
D-Link DIR-615 HW: T1 FW:20.09 is vulnerable to Cross-Site Request Forgery (CSRF) vulnerability. This enables an attacker to perform an unwanted action on a wireless router for which the user/admin is currently authenticated, as demonstrated by changing the Security option from WPA2 to None, or changing the hiddenSSID parameter, SSID parameter, or a security-option password. D-Link DIR-615 HW: T1 FW:20.09 es vulnerable a la vulnerabilidad Cross-Site Request Forgery (CSRF). Esto permite a un atacante realizar una acción no deseada en un enrutador inalámbrico para el cual el usuario / administrador está actualmente autenticado, como se demuestra cambiando la opción de seguridad de WPA2 a Ninguno o cambiando el parámetro hiddenSSID, el parámetro SSID o una contraseña de opción de seguridad. D-Link DIR-615 suffers from a cross site request forgery vulnerability. • https://www.exploit-db.com/exploits/41821 http://seclists.org/fulldisclosure/2017/Apr/4 • CWE-352: Cross-Site Request Forgery (CSRF) •