Pap Gergo

**Nome do software vulnerável e versões afetadas** D-Link DIR-825 versão 1.0.9/EE **Descrição** Esta vulnerabilidade permite que invasores na mesma rede executem código arbitrário nas instalações afetadas. Não é necessária autenticação para explorar esta vulnerabilidade. A falha específica está presente no plugin do YouTube para o serviço xupnpd, que escuta na porta TCP 4044. A vulnerabilidade resulta da falta de validação adequada de uma string fornecida pelo usuário antes de usá-la para executar uma chamada de sistema. Um invasor pode aproveitar essa vulnerabilidade para executar código no contexto do usuário administrador. **Recomendações** Para o D-Link DIR-825 versão 1.0.9/EE, como solução temporária, considere desativar o plug-in do YouTube para o serviço xupnpd até que um patch esteja disponível. Restrinja o acesso à porta TCP 4044 para minimizar o risco de exploração. Evite usar strings fornecidas pelo usuário no serviço xupnpd até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.