CVE-2021-20134

**Nome do software vulnerável e versões afetadas:

D-Link DIR-2640, versões iguais ou anteriores à 1.11B02

Descrição:

A vulnerabilidade permite que um invasor remoto autenticado explore uma vulnerabilidade de traversal de caminho absoluto nos serviços Quagga. Isso permite que o invasor defina um arquivo arbitrário no sistema de arquivos do roteador como o arquivo de log usado pelos serviços Quagga, como zebra ou ripd. Ao anexar mensagens de log a um script de shell no sistema de arquivos do roteador, um invasor pode conseguir a execução remota de código. Isso pode ser aproveitado para obter um shell root remoto e não autenticado no dispositivo.

Recomendações:

Para versões do D-Link DIR-2640 menores ou iguais a 1.11B02, como solução temporária, considere restringir o acesso aos Serviços Quagga até que um patch esteja disponível. Evite usar os serviços Quagga vulneráveis para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.