CVE-2021-20133

**Nome do software vulnerável e versões afetadas:

D-Link DIR-2640, versões iguais ou anteriores à 1.11B02

Descrição:

A vulnerabilidade permite que um invasor remoto autenticado defina o banner da “mensagem do dia” como qualquer arquivo no sistema, possibilitando-lhe ler todo ou parte do conteúdo desses arquivos. Isso pode levar à divulgação de informações confidenciais, incluindo credenciais com hash, senhas em texto simples codificadas para outros serviços, arquivos de configuração e chaves privadas. Além disso, o tratamento inadequado de nomes de arquivos que identificam recursos virtuais, como “/dev/urandom”, pode permitir que um invasor realize um ataque de negação de serviço contra as interfaces de linha de comando dos serviços Quagga (zebra e ripd).

Recomendações:

Para versões do D-Link DIR-2640 menores ou iguais a 1.11B02, considere restringir o acesso aos serviços Quagga até que um patch esteja disponível.

Como solução temporária, considere desativar a configuração do banner “mensagem do dia” para impedir que um invasor leia arquivos confidenciais.

Restrinja o acesso a recursos virtuais, como “/dev/urandom”, para minimizar o risco de um ataque de negação de serviço contra as interfaces de linha de comando dos serviços Quagga.