CVE-2024-36755

Nome do software vulnerável e versões afetadas:

D-Link DIR-1950, versões até v1.11B03

Descrição:

O problema está relacionado à falha na validação de certificados SSL ao solicitar a versão mais recente do firmware e o URL de download. Isso pode permitir que invasores realizem um ataque man-in-the-middle, potencialmente revertendo a versão do firmware ou alterando o URL de download. A vulnerabilidade está associada a erros no procedimento de autenticação de certificados durante as atualizações, que podem ser explorados por um invasor remoto para implementar um ataque man-in-the-middle (MITM).

Recomendações:

Para as versões do D-Link DIR-1950 até a v1.11B03, considere desativar as atualizações automáticas de firmware até que um patch esteja disponível para evitar uma possível exploração. Restrinja o acesso ao mecanismo de atualização do dispositivo para minimizar o risco de um ataque man-in-the-middle. Evite usar redes não seguras ao atualizar o firmware para reduzir o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.