D-Link 发布安全固件更新，修复 DIR-865L 路由器中存在的问题

D-Link发布了一个固件更新来解决影响DIR-865L家庭路由器模型的三个安全缺陷，但是留下一些问题没有解决

D-Link最近发布了一个固件更新来解决影响DIR-865L无线家庭路由器的六个安全漏洞中的三个。

以下是影响D-Link家庭路由器的漏洞列表:

CVE-2020-13782:命令中使用的特殊元素的不正确中和(命令注入)-严重度分数为9.8，不固定
CVE-2020-13786:跨站点请求伪造(Cross高严重性分数8.8，已修复
CVE-2020-13785:加密强度不足-高严重性分数7.5，已修复
CVE-2020-13784:伪随机数发生器中的可预测种子-高严重性分数7.5不固定
CVE-2020-13783:敏感信息的明文存储-高严重性分数7.5，已修复
CVE-2020-13787:敏感信息的明文传输-高严重性分数7.5，不固定

今年2月，Palo Alto网络公司的研究人员向D-Link报告了这些缺陷，专家指出，这些问题也可能影响到较新的型号，因为它们共享部分固件代码。

CVE-2020-13782被评为严重，其余为高危，攻击者可以利用它们来执行任意命令、窃取敏感信息、上传恶意负载或删除数据。

Palo Alto研究员Gregory Basior说，攻击者可以利用上述漏洞嗅探网络流量并窃取会话cookies。

“这些漏洞的不同组合会导致重大风险。例如，恶意用户可以嗅探网络流量来窃取会话cookies。Palo Alto网络公司发表的分析表示。

“有了这些信息，他们可以访问管理门户进行文件共享，从而能够上传任意恶意文件、下载敏感文件或删除重要文件。他们还可以使用cookie运行任意命令来实施拒绝服务攻击。”

美国消费者不再支持D-Link的DIR-865L，而供应商仍然为欧洲消费者提供支持。

该供应商发布了一个测试版固件版本，仅修复了六个缺陷中的三个，它建议客户用新型号替换他们的设备。

“对于美国消费者来说，D-Link建议停用该产品，任何进一步的使用都可能对连接到该产品的设备和连接到该产品的最终用户造成风险”D-Link表示。