一、 漏洞 CVE-2020-25078 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
D-Link DCS-2530L 和 DCS-2670L 设备存在未授权访问漏洞,导致远程攻击者能够通过 `/config/getuser` 端点获取管理员密码。

## 影响版本
- DCS-2530L:1.06.01 Hotfix 之前的所有版本
- DCS-2670L:2.02 及之前的所有版本

## 漏洞细节
未授权的攻击者可以通过访问设备的 `/config/getuser` 接口获取管理员密码,而无需认证。

## 影响
攻击者可能远程获取管理员密码,从而完全控制受影响的设备。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An issue was discovered on D-Link DCS-2530L before 1.06.01 Hotfix and DCS-2670L through 2.02 devices. The unauthenticated /config/getuser endpoint allows for remote administrator password disclosure.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
D-Link DCS-2530L和DCS-2670L 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
D-Link DCS-2670L和D-Link DCS-2530L都是Bitcoin(D-Link)组织的一款无线路由器。 D-Link DCS-2530L 1.06.01 Hotfix之前版本和DCS-2670L 2.02版本及之前版本中存在安全漏洞。该漏洞会导致远程管理员密码泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2020-25078 的公开POC
# POC 描述 源链接 神龙链接
1 D-Link DCS系列账号密码信息泄露漏洞,通过脚本获取账号密码,可批量。 https://github.com/MzzdToT/CVE-2020-25078 POC详情
2 D-Link DCS系列摄像头账号密码信息泄露批量脚本 https://github.com/S0por/CVE-2020-25078 POC详情
3 CVE-2020-25078账号密码信息泄露批量脚本Batch script of D-Link DCS series camera account password information disclosure https://github.com/chinaYozz/CVE-2020-25078 POC详情
4 D-Link DCS-2530L before 1.06.01 Hotfix and DCS-2670L through 2.02 devices are vulnerable to password disclosures vulnerabilities because the /config/getuser endpoint allows for remote administrator password disclosure. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2020/CVE-2020-25078.yaml POC详情
5 None https://github.com/Threekiii/Awesome-POC/blob/master/%E7%BD%91%E7%BB%9C%E8%AE%BE%E5%A4%87%E6%BC%8F%E6%B4%9E/D-Link%20DCS%E7%B3%BB%E5%88%97%E7%9B%91%E6%8E%A7%20%E8%B4%A6%E5%8F%B7%E5%AF%86%E7%A0%81%E4%BF%A1%E6%81%AF%E6%B3%84%E9%9C%B2%E6%BC%8F%E6%B4%9E%20CVE-2020-25078.md POC详情
三、漏洞 CVE-2020-25078 的情报信息