CVE-2024-9556

D-Link DIR-605L versão 2.13B01 BETA

Foi identificada uma falha crítica na função formSetEnableWizard do arquivo /goform/formSetEnableWizard. A manipulação do argumento curTime leva a um estouro de buffer. É possível iniciar o ataque remotamente. A exploração foi divulgada ao público e pode estar em uso. Esta vulnerabilidade está relacionada à cópia de um buffer sem verificação do tamanho dos dados de entrada, o que pode permitir que um invasor remoto comprometa a confidencialidade, integridade e disponibilidade de informações protegidas ao enviar uma solicitação POST especialmente criada com o parâmetro curTime.

Como solução temporária, considere desativar a função formSetEnableWizard até que um patch esteja disponível. Restrinja o acesso ao endpoint /goform/formSetEnableWizard para minimizar o risco de exploração. Evite usar o parâmetro curTime no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.