CVE-2021-27248

D-Link DAP-2020 versão 1.01rc001

O problema está relacionado a um estouro de buffer na pilha (stack) no cenário webproc getpage do firmware do ponto de acesso Wi-Fi D-Link DAP-2020. Isso pode ser explorado por invasores na rede adjacente para executar código arbitrário em instalações afetadas sem a necessidade de autenticação. A falha existe no processamento de scripts CGI, especificamente ao analisar o parâmetro getpage, onde o comprimento dos dados fornecidos pelo usuário não é validado adequadamente antes de ser copiado para um buffer baseado em pilha de comprimento fixo. Isso permite que um invasor execute código no contexto do root.

Para o D-Link DAP-2020 versão 1.01rc001, como solução temporária, considere restringir o acesso ao cenário webproc getpage até que um patch esteja disponível. Evite usar o parâmetro getpage nos scripts CGI afetados para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.