dlink dcs-5220_firmware 跨界内存写

CVE编号

CVE-2021-3182

利用情况

暂无

补丁情况

N/A

披露时间

2021-01-20

漏洞描述

D-link DCS-5220是中国D-link公司的一个基于Javascript用于在浏览器快速制作动画效果的工具集。 D-link DCS-5220存在缓冲区溢出漏洞，该漏洞源于设备有缓冲区溢出。目前没有详细的漏洞细节提供。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10203

参考链接
https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10203

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	系统	amazon_2	kernel	*		Up to (excluding) 5.10.35-31.135.amzn2
	运行在以下环境
	系统	amazon_AMI	kernel	*		Up to (excluding) 4.14.232-123.381.amzn1
	运行在以下环境
	系统	anolis_os_8	kernel	*		Up to (excluding) 4.19
	运行在以下环境
	系统	centos_8	kernel	*		Up to (excluding) 4.18.0-348.el8
	运行在以下环境
	系统	dlink	dcs-5220_firmware	-	-
	运行在以下环境
	系统	fedora_32	kernel	*		Up to (excluding) 5.11.19-100.fc32
	运行在以下环境
	系统	fedora_33	kernel	*		Up to (excluding) 5.11.19-200.fc33
	运行在以下环境
	系统	fedora_34	kernel	*		Up to (excluding) 5.11.19-300.fc34
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	kernel	*		Up to (excluding) 4.19.90-25.11.v2101.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	kernel	*		Up to (excluding) 4.19.90-25.11.v2101.ky10
	运行在以下环境
	系统	oracle_7	kernel	*		Up to (excluding) 5.4.17-2102.203.5.el7uek
	运行在以下环境
	系统	oracle_8	kernel	*		Up to (excluding) 4.18.0-348.el8
	运行在以下环境
	系统	redhat_8	kernel	*		Up to (excluding) 4.18.0-348.el8
	运行在以下环境
	系统	ubuntu_18.04.5_lts	linux	*		Up to (excluding) 4.15.0-151.157
	运行在以下环境
	硬件	dlink	dcs-5220	-	-

CVSS3评分 8.0

• 攻击路径 相邻
• 攻击复杂度 低
• 权限要求 低
• 影响范围 未更改
• 用户交互 无
• 可用性 高
• 保密性 高
• 完整性 高

CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-ID	漏洞类型
CWE-787	跨界内存写

Exp相关链接

- avd.aliyun.com