CVE-2026-12174
Alvorlig

CVE-2026-12174: Kritisk fejl i D-Link DCS-935L

Kritisk fejl i D-Link-kamera DCS-935L giver angribere fuld kontrol over enheden via netværket.

CVSS Score
8.8
Offentliggjort
13/06/2026
Patch-status
none
Exploit
poc_public
Tidsfrist
Handle inden for 24-48 timer

Hvad er det?

En sikkerhedsfejl er fundet i D-Link-kameraet DCS-935L (version 1.10.01). Fejlen ligger i den måde, kameraets indbyggede webserver behandler indkommende data på. En angriber kan sende en særligt udformet forespørgsel til kameraet over internettet og dermed få mulighed for at køre vilkårlig kode på enheden. Fejlen kaldes en format string-sårbarhed (en fejltype, hvor programmet ukritisk bruger brugerinput som en skabelon og derved åbner for manipulation af hukommelsen). Sårbarheden er offentliggjort og der findes offentligt tilgængeligt kode til at udnytte den.

Hvem rammer det?

Alle virksomheder og private der anvender D-Link DCS-935L-kameraet i version 1.10.01. Kameraet er et IP-overvågningskamera, der ofte bruges i små og mellemstore virksomheder til intern overvågning. Risikoen er særligt høj, hvis kameraet er tilgængeligt direkte fra internettet — men angreb kan også komme fra dit lokale netværk, hvis en anden enhed der er kompromitteret.

Hvad kan ske?

En angriber med blot et almindeligt brugernavn og password — eller ingen adgang overhovedet, afhængigt af konfiguration — kan udnytte fejlen til at overtage kameraet fuldstændigt. Det betyder, at angriberen kan:

  • Se og optage alt, hvad kameraet filmer, uden at du ved det
  • Slukke for overvågningen eller manipulere billederne
  • Bruge kameraet som en springbræt ind i resten af dit netværk
  • Gøre kameraet til en del af et botnet (et netværk af kaprede enheder brugt til angreb mod andre)

Hvor alvorligt er det?

Sårbarheden scorer 8.8 ud af 10 på den internationale CVSS-skala, hvilket kategoriserer den som alvorlig. Angrebet kræver blot lavt privilegieniveau, kan udføres over netværket uden fysisk adgang og kræver ingen handling fra dig som bruger. Konsekvenserne rammer fortrolighed, integritet og tilgængelighed fuldt ud. Dertil kommer, at der allerede er offentliggjort et fungerende angrebsværktøj (exploit), hvilket sænker tærsklen for angreb markant.

Hvad gør jeg nu?

Undersøg hurtigst muligt om din virksomhed bruger D-Link DCS-935L-kameraet. Hvis I gør det, skal I handle med det samme:

  1. Tag kameraet offline: Afbryd kameraets adgang til internettet straks, indtil en løsning er på plads. Gå ind i din router og bloker kameraets adgang, eller tag netværkskablet ud.
  2. Tjek firmwareversion: Undersøg om kameraet kører version 1.10.01. Det kan du typisk se via kameraets webgrænseflade under ‘Om’ eller ‘Firmware’.
  3. Søg efter patch: Besøg D-Links officielle supportside for DCS-935L og se, om der er udgivet en opdateret firmware. Installer den straks, hvis den findes.
  4. Vurdér EOL-status: DCS-935L er et ældre produkt — undersøg om D-Link fortsat understøtter det. Hvis ikke, bør I overveje at udskifte kameraet med en ny, understøttet model.
  5. Gennemgå netværksadgang: Sørg for, at ingen IoT-enheder (kameraer, printere, alarmsystemer) er direkte tilgængelige fra internettet uden firewall-beskyttelse og stærk adgangskode.
Tidsfrist

Handle inden for 24-48 timer

Sådan ser Auroa det

Da der allerede findes et offentliggjort angrebsværktøj til denne sårbarhed, og da D-Link DCS-935L sandsynligvis er et produkt uden aktiv support, anbefaler vi, at du øjeblikkeligt isolerer kameraet fra dit netværk. Brug ikke kameraet, før du har bekræftet, at der enten er udgivet en patch, eller at du har erstattet det med en understøttet model. Kontakt Auroa, hvis du er i tvivl om, hvordan du bedst beskytter dit netværk og dine overvågningsenheder.

Tidslinje

13/06/2026
CVE offentliggjort
Sårbarheden CVE-2026-12174 offentliggøres i National Vulnerability Database (NVD) med en CVSS-score på 8.8 (alvorlig).
13/06/2026
Exploit offentliggjort
Samtidig med offentliggørelsen bekræftes det, at et fungerende angrebsværktøj (proof-of-concept exploit) er tilgængeligt offentligt, hvilket øger risikoen for aktive angreb markant.
13/06/2026
Ingen patch tilgængelig
På offentliggørelsestidspunktet er der ikke udgivet en officiel firmware-opdatering fra D-Link til DCS-935L version 1.10.01.
14/06/2026
Anbefalet handling: isoler enheden
Sikkerhedseksperter anbefaler at tage kameraet offline omgående og afvente enten en officiel patch fra D-Link eller udskiftning med en understøttet model.

Konkrete eksempler

Angriber overtager kamera via internettet

En angriber scanner internettet efter D-Link DCS-935L-kameraer, der er tilgængelige på standard HTTP-port. Ved at sende en særligt udformet HTTP-forespørgsel med ondsindet format string-data til kameraets webserver opnår angriberen mulighed for at afvikle egne kommandoer på enheden. Kameraets live-feed kan herefter tilgås og manipuleres uden ejerens viden.

Kameraet bruges som indgang til virksomhedens netværk

Efter at have overtaget kameraet bruger angriberen det som et brohoved ind i virksomhedens interne netværk. Herfra kan angriberen kortlægge andre enheder, forsøge at tilgå filservere eller iværksætte et ransomware-angreb. Kameraet fungerer som en ubeskyttet bagdør, fordi det sjældent overvåges for usædvanlig aktivitet.

Kameraet kapres til botnet-angreb

En kriminell gruppe udnytter sårbarheden automatisk via et script, der scanner tusindvis af IP-adresser. De kompromitterede kameraer tilføjes til et botnet og bruges til at udføre DDoS-angreb (overbelastningsangreb) mod tredjeparter. Virksomhedens internetforbindelse kan i sådanne tilfælde blive inddraget i angreb mod andre, hvilket kan medføre juridiske og driftsmæssige konsekvenser.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-119
CWE-134

Original NVD-beskrivelse (engelsk)

A security vulnerability has been detected in D-Link DCS-935L 1.10.01. This issue affects the function snprintf of the file /web/cgi-bin/greece/rhea of the component HTTP Handler. Such manipulation of the argument data leads to format string. The attack may be launched remotely. The exploit has been disclosed publicly and may be used.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-12174
Offentliggjort
13/06/2026
Sidst opdateret
13/06/2026
Exploit-status
poc_public
Patch-status
none
Tidsfrist
Handle inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.