CVE-2024-7828

D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 e DNS-1550-04 (versões afetadas não especificadas)

O problema está relacionado a uma vulnerabilidade de estouro de buffer na função cgi set cover() do arquivo /cgi-bin/photocenter mgr.cgi. Essa vulnerabilidade pode ser explorada remotamente através da manipulação do argumento album name, permitindo que um invasor execute comandos arbitrários usando uma solicitação POST especialmente criada. O número estimado de dispositivos potencialmente afetados não foi fornecido, e não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.

Como solução temporária, considere desativar a função cgi set cover() até que um patch esteja disponível.

Restrinja o acesso ao arquivo /cgi-bin/photocenter mgr.cgi para minimizar o risco de exploração.

Evite usar o argumento album name no endpoint da API afetado até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.