CVE-2024-9553

D-Link DIR-605L versão 2.13B01 BETA

Foi identificada uma falha crítica na função formdumpeasysetup do arquivo /goform/formdumpeasysetup, relacionada a um estouro de buffer devido à falta de validação do tamanho da entrada. Isso pode ser explorado enviando uma solicitação POST especialmente criada com o parâmetro curTime, permitindo que um invasor remoto comprometa a confidencialidade, integridade e disponibilidade das informações protegidas. A manipulação do argumento curTime leva ao estouro de buffer, e é possível iniciar o ataque remotamente.

Como solução temporária, considere desativar a função formdumpeasysetup no arquivo /goform/formdumpeasysetup até que um patch esteja disponível. Restrinja o acesso ao endpoint /goform/formdumpeasysetup para minimizar o risco de exploração. Evite usar o parâmetro curTime no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.