CVE-2021-28840

**Nome do software vulnerável e versões afetadas:

D-Link DAP-2310 versão 2.07.RC031

D-Link DAP-2330 versão 1.07.RC028

D-Link DAP-2360 versão 2.07.RC043

D-Link DAP-2553 versão 3.06.RC027

D-Link DAP-2660 versão 1.13.RC074

D-Link DAP-2690 versão 3.16.RC100

D-Link DAP-2695 versão 1.17.RC063

D-Link DAP-3320 versão 1.01.RC014

D-Link DAP-3662 versão 1.01.RC022

Descrição:

Existe uma vulnerabilidade de referência a ponteiro nulo na função upload config do binário sbin/httpd. Quando o binário processa uma solicitação HTTP GET específica, o conteúdo da variável upload file é NULL na função upload config; então, a função strncasecmp receberia NULL como primeiro argumento, causando a vulnerabilidade de referência a ponteiro nulo.

Recomendações:

Para o D-Link DAP-2310 versão 2.07.RC031, considere desativar a função upload config no binário sbin/httpd até que uma correção esteja disponível.

Para o D-Link DAP-2330 versão 1.07.RC028, considere desativar a função upload config no binário sbin/httpd até que uma correção esteja disponível.

Para o D-Link DAP-2360 versão 2.07.RC043, considere desativar a função upload config no binário sbin/httpd até que um patch esteja disponível.

Para o D-Link DAP-2553 versão 3.06.RC027, considere desativar a função upload config no binário sbin/httpd até que um patch esteja disponível.

Para o D-Link DAP-2660 versão 1.13.RC074, considere desativar a função upload config no binário sbin/httpd até que um patch esteja disponível.

Para o D-Link DAP-2690 versão