CVE-2020-15633

D-Link DIR-867-US, DIR-878, DIR-882-US, versões 1.20B10 BETA

O problema está relacionado à implementação do protocolo HNAP no firmware dos roteadores D-Link, o que permite que um invasor contorne os procedimentos de autenticação utilizando um caminho ou canal alternativo ao processar solicitações HTTP que incluam a string ?GetCAPTCHAsetting. Isso pode permitir que um invasor remoto contorne restrições de segurança, obtenha privilégios elevados ou execute código arbitrário. A falha existe no processamento de solicitações HNAP devido a uma lógica incorreta de correspondência de strings ao acessar páginas protegidas.

Para os roteadores D-Link DIR-867-US, DIR-878 e DIR-882-US versão 1.20B10 BETA, considere desativar o tratamento de solicitações HNAP ou restringir o acesso a páginas protegidas como uma solução temporária até que um patch esteja disponível. Evite usar a string ?GetCAPTCHAsetting em solicitações HTTP para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.