CVE-2024-7849

D-Link DNS-120, DNR-202L, DNS-315L, DNS-320, DNS-320L, DNS-320LW, DNS-321, DNR-322L, DNS-323, DNS-325, DNS-326, DNS-327L, DNR-326, DNS-340L, DNS-343, DNS-345, DNS-726-4, DNS-1100-4, DNS-1200-05 e DNS-1550-04 até 20240814

Um problema crítico afeta a função cgi create album do arquivo /cgi-bin/photocenter mgr.cgi. A manipulação do argumento current path leva a um estouro de buffer. É possível iniciar o ataque remotamente. A vulnerabilidade já foi divulgada ao público e pode estar sendo explorada. Este problema afeta apenas produtos que não são mais suportados pelo mantenedor. O fornecedor confirmou que o produto está em fim de vida útil e deve ser retirado de serviço e substituído.

Como solução temporária, considere desativar a função cgi create album até que a vulnerabilidade seja resolvida. Restrinja o acesso ao arquivo /cgi-bin/photocenter mgr.cgi para minimizar o risco de exploração. Evite usar o argumento current path no endpoint da API afetado até que o problema seja resolvido. Como os produtos estão no fim de vida útil, a ação recomendada é retirá-los de uso e substituí-los. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.