Davolink DVW-3200N路由器高危漏洞安全通告

发布时间 2018-08-02

漏洞编号和级别


CVE-2018-10618  厂商自评:9.8   CVSS分值:官方未评定


影响版本


受影响的版本:


DVW-3200N version < 1.00.06


不受影响的版本:


DVW-3200N version 1.00.06


漏洞概述


7月31日,Davolink DVW-3200N 路由器被曝出1个高危漏洞(CVE-2018-10618)。该路由器生成容易被破解的弱密码,允许远程攻击者获取设备的密码。


Davolink DVW-3200N 路由器的端口88上有登录门户,访问受密码保护,但密码在登录页面的HTML中是硬编码的。分析页面代码,一个名为“clickApply”的函数,其中包含标准base 64编码中的密码。


漏洞利用


漏洞利用代码:https://cxsecurity.com/issue/WLB-2018070219。


修复建议


Davolink官方为该设备提供了一个新的固件版本,可以从以下链接下载:http://www.davolink.co.kr/sys/bbs/board.php?bo_table=0403&wr_id=50。


参考链接


http://www.davolink.co.kr/sys/bbs/board.php?bo_table=0403&wr_id=50


https://ics-cert.us-cert.gov/advisories/ICSA-18-212-01


https://cxsecurity.com/issue/WLB-2018070219