Huan

**Nome do Software Vulnerável e Versões Afetadas** TOTOLINK X15 versão 1.0.0-B20230714.1105 **Descrição** Uma vulnerabilidade crítica foi encontrada no TOTOLINK X15, afetando a função `formMapReboot` do arquivo `/boafrm/formMapReboot`. A manipulação do argumento `deviceMacAddr` leva à injeção de comando. O ataque pode ser lançado remotamente. O exploit foi divulgado ao público e pode ser utilizado. O fabricante foi contatado antecipadamente sobre esta divulgação, mas não respondeu de forma alguma. **Recomendações** Como medida de contorno temporária, considere desativar a função `formMapReboot` até que uma correção esteja disponível. Restrinja o acesso ao arquivo `/boafrm/formMapReboot` para minimizar o risco de exploração. Evite usar o parâmetro `deviceMacAddr` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** D-Link DI-8100 versão 16.07.26A1 **Descrição** Uma vulnerabilidade crítica afeta a função `ctxz asp` do arquivo `/ctxz.asp` no componente de Página de Limite de Conexão. A manipulação do argumento `def/defTcp/defUdp/defIcmp/defOther` resulta em um estouro de buffer baseado em pilha. Este problema pode ser explorado remotamente. **Recomendações** Para o D-Link DI-8100 versão 16.07.26A1, como medida temporária, considere desativar a função `ctxz asp` até que um patch esteja disponível. Restrinja o acesso ao arquivo `/ctxz.asp` para minimizar o risco de exploração. Evite utilizar o argumento `def/defTcp/defUdp/defIcmp/defOther` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** D-Link DI-8100 versões até 16.07.26A1 **Descrição** Um problema crítico afeta o processamento do arquivo /ddos.asp do componente jhttpd. A manipulação dos argumentos `def max`, `def time`, `def tcp max`, `def tcp time`, `def udp max`, `def udp time`, `def icmp max` leva a um estouro de buffer baseado em pilha. O ataque pode ser iniciado remotamente, com complexidade bastante alta e exploração difícil. **Recomendações** Para as versões do D-Link DI-8100 até 16.07.26A1, como medida de contorno temporária, considere restringir o acesso ao arquivo /ddos.asp do componente jhttpd até que uma correção esteja disponível. Evite manipular os argumentos `def max`, `def time`, `def tcp max`, `def tcp time`, `def udp max`, `def udp time`, `def icmp max` no componente afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.