CVE-2020-25078
CVE-2020-25078
Vexday Risk Score
100Corregir ahora
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 7.5EPSS 97.9%KEV simPoC públicaNuclei simMetasploit —Patch —
Ciclo de vida
02 sep 2020Publicada en NVD
30 mar 2021PoC pública
05 ago 2025Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen
Una falla de seguridad en cámaras D-Link permite que cualquier persona en la red vea la contraseña del administrador sin iniciar sesión. Esto es peligroso porque los atacantes pueden tomar control total de la cámara y de la red que protege.
Detalle técnico
Existe una vulnerabilidad de divulgación de información sin autenticación en el endpoint /config/getuser de dispositivos D-Link DCS-2530L y DCS-2670L. Un atacante remoto puede acceder a este endpoint sin autenticación para recuperar credenciales de administrador, lo que permite el compromiso total del dispositivo y movimiento lateral potencial en la red.
Resumen generado y traducido por IA a partir de la descripción oficial.
An issue was discovered on D-Link DCS-2530L before 1.06.01 Hotfix and DCS-2670L through 2.02 devices. The unauthenticated /config/getuser endpoint allows for remote administrator password disclosure.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Productos afectados
n/a · n/aPoCs públicas encontradas — 3
githubgithub.com/MzzdToT/CVE-2020-25078★ 4githubgithub.com/chinaYozz/CVE-2020-25078★ 0githubgithub.com/flags-alt/abyss-c2★ 0⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →