Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Vulnerabilidad Cross-Site Request Forgery en routers D-Link DIR-600L

Vulnerabilidad Cross-Site Request Forgery en routers D-Link DIR-600L

Por Deja un comentario

Se ha anunciado una vulnerabilidad en los routers D-Link DIR-600L, que podría permitir la realización de ataques de cross-site request forgery.
La aplicación web del router puede permitir a los usuarios realizar determinadas acciones mediante peticiones http sin las adecuadas validaciones. Esto podría permitir la realización de ataques del tipo cross-site request forgery, que podría permitir por ejemplo el cambio de credenciales administrativas cuando un usuario autenticado visite una página web especialmente creada.
Este tipo de vulnerabilidad permite a un atacante ejecutar funcionalidades de una web determinada a través de la sesión de otro usuario en esa web. Su mecanismo es sencillo, pero entender como funciona y su impacto no lo es y mucho menos para profesionales ajenos al mundo de la seguridad. El problema reside en que en muchas ocasiones se tiende a infravalorar la peligrosidad de este tipo de fallos.
Se ha publicado una prueba de concepto del problema, disponible en:
http://www.exploit-db.com/exploits/32385/
Esquema de funcionamiento de ataques Cross-Site Request Forgery (CSRF)

Más información:
Dlink DIR-600L Hardware Version AX Firmware Version 1.00 – CSRF Vulnerability
http://www.exploit-db.com/exploits/32385/
Antonio Ropero
antonior@hispasec.com
Twitter: @aropero

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.