CVE-2021-28144

**Nome do software vulnerável e versões afetadas:

D-Link DIR-3060, versões anteriores à 1.11b04 HF2

Descrição:

A vulnerabilidade permite que usuários remotos autenticados injetem comandos arbitrários em um contexto de administrador ou root. Isso ocorre porque SetVirtualServerSettings chama CheckArpTables, que, por sua vez, chama popen de forma insegura. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.

Recomendações:

Para as versões do D-Link DIR-3060 anteriores à 1.11b04 HF2, atualize para a versão 1.11b04 HF2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à interface prog.cgi até que um patch seja aplicado. Evite usar a função SetVirtualServerSettings, que chama CheckArpTables, até que o problema seja resolvido.