CVE-2021-34860

**Nome do software vulnerável e versões afetadas:

D-Link DAP-2020 versão 1.01rc001

Descrição:

Esta vulnerabilidade permite que invasores na mesma rede divulguem informações confidenciais nas instalações afetadas. Não é necessária autenticação para explorar esta vulnerabilidade. A falha específica está no tratamento do parâmetro getpage fornecido ao endpoint “webproc”. A vulnerabilidade resulta da falta de validação adequada de um caminho fornecido pelo usuário antes de usá-lo em operações de arquivo. Um invasor pode aproveitar esta vulnerabilidade para divulgar informações no contexto do root.

Recomendações:

Para o D-Link DAP-2020 versão 1.01rc001, como solução temporária, considere restringir o acesso ao endpoint “webproc” até que um patch esteja disponível. Evite usar o parâmetro getpage no endpoint afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.