CVE-2024-8127

Nome do software vulnerável e versões afetadas:

D-Link DNS-120 até 20240814

D-Link DNR-202L até 20240814

D-Link DNS-315L até 20240814

D-Link DNS-320 até 20240814

D-Link DNS-320L até 20240814

D-Link DNS-320LW até 20240814

D-Link DNS-321 até 20240814

D-Link DNR-322L até 20240814

D-Link DNS-323 até 14/08/2024

D-Link DNS-325 até 14/08/2024

D-Link DNS-326 até 14/08/2024

D-Link DNS-327L até 14/08/2024

D-Link DNR-326 até 14/08/2024

D-Link DNS-340L até 14/08/2024

D-Link DNS-343 até 14/08/2024

D-Link DNS-345 até 14/08/2024

D-Link DNS-726-4 até 14/08/2024

D-Link DNS-1100-4 até 14/08/2024

D-Link DNS-1200-05 até 14/08/2024

D-Link DNS-1550-04 até 14/08/2024

Descrição:

Foi encontrada uma vulnerabilidade crítica nos produtos D-Link especificados. Este problema afeta a função cgi unzip do arquivo /cgi-bin/webfile mgr.cgi no componente HTTP POST Request Handler. A manipulação do argumento path leva à injeção de comando. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. Observe que esta vulnerabilidade afeta apenas produtos que não são mais suportados pelo mantenedor, e o fornecedor confirmou que o produto está em fim de vida.

Recomendações:

Como solução temporária, considere desativar a função cgi unzip até que uma substituição esteja disponível.

Restrinja o acesso ao arquivo /cgi-bin/webfile mgr.cgi para minimizar o risco de exploração.

Evite usar o argumento path na solicitação HTTP POST afetada Han