CVE-2024-8130

Nome do software vulnerável e versões afetadas:

D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 e DNS-1550-04 até 20240814

Descrição:

Foi encontrada uma vulnerabilidade crítica nos produtos D-Link especificados. O problema afeta a função cgi s3 do arquivo /cgi-bin/s3.cgi no componente HTTP POST Request Handler. A manipulação do argumento f a key leva à injeção de comando. Este ataque pode ser lançado remotamente. A exploração foi divulgada ao público e pode estar em uso. Observe que esta vulnerabilidade afeta apenas produtos que não são mais suportados pelo mantenedor, e o fornecedor confirmou que o produto está em fim de vida.

Recomendações:

Como os produtos não são mais suportados e foram confirmados como em fim de vida pelo fornecedor, a ação recomendada é retirá-los de serviço e substituí-los. Não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.