D-Link a corrigé deux vulnérabilités de gravité critique dans sa suite de gestion de réseau D-View 8 qui pourraient permettre à des attaquants distants de contourner l’authentification et d’exécuter un code arbitraire.
D-View est une suite de gestion de réseau développée par le fournisseur taïwanais de solutions de réseau D-Link, utilisée par des entreprises de toutes tailles pour surveiller les performances, contrôler les configurations des périphériques, créer des cartes de réseau et, d’une manière générale, rendre la gestion et l’administration du réseau plus efficaces et moins fastidieuses.
Les chercheurs en sécurité participant à l’initiative Zero Day de Trend Micro ont découvert six failles affectant D-View à la fin de l’année dernière et les ont signalées à l’éditeur le 23 décembre 2022.
La première faille est répertoriée sous le nom de CVE-2023-32165. Il s’agit d’une faille d’exécution de code à distance résultant de l’absence de validation correcte d’un chemin d’accès fourni par l’utilisateur avant de l’utiliser dans des opérations de fichiers.
La seconde faille critique a reçu l’identifiant CVE-2023-32169 et constitue un problème de contournement d’authentification résultant de l’utilisation d’une clé cryptographique codée en dur dans la classe TokenUtils du logiciel.
D-Link a publié un avis sur les six failles signalées par le ZDI, qui affectent la version 2.0.1.27 et inférieure de D-View 8, en demandant aux administrateurs de passer à la version corrigée, 2.0.1.28, publiée le 17 mai 2023.
