转载

D-Link（友讯）路由器曝远程文件上传及命令注入漏洞（已发布安全更新）

D-Link路由器的安全问题还真多，前段时间刚刚爆出家用路由器存在远程命令注入漏洞，之后又有人在其固件上发现了两个远程利用漏洞。攻击者利用漏洞可远程获得路由器权限，甚至在受害设备上执行任意代码。

攻击者可在存在漏洞的路由器上 远程上传自己的文件到受害者设备上，这样一来攻击者便可进行创建、修改、删除信息的操作。另外攻击者还可利用漏洞在受害者设备上执行任意代码。

受影响的路由器型号有：

DCS-930L，DCS-931L，DCS-932L， DCS-933L

之前报道说是1.04版本之前的路由器固件都存在漏洞，但是，还远不止这些，最近的公告中明显表明影响范围再次扩大了，2.0.17-b62版本之前的固件也都受影响。

第二个漏洞仍然是固件漏洞，主要存在于1.11版本的DAP-1320 Rev Ax 固件上。该固件的更新机制上存在命令注入漏洞，远程未授权的攻击者可以在受害者设备上执行一些恶意命令。这一攻击需要使用普通并易获得的工具来劫持、操纵网络通讯。

目前以上漏洞已修复，使用以上版本路由器的用户应尽快更新路由器固件。另外，在此还要再加一个漏洞修复公告：DIR-626L，808L，820L，826L，830L，836L型号的家用路由器上存在的漏洞也已修复，请用户们更新到最新的版本。

[参考来源 threatpost ，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）]

正文到此结束

所属分类：编程技术

本站定位：个人技术类博客

本站作用：写博客、记日志、闲聊扯淡鼓捣技术。