CVE-2024-9549

D-Link DIR-605L versão 2.13B01 BETA

O problema afeta as funções formEasySetupWizard() e formEasySetupWizard2() do firmware do roteador D-Link DIR-605L, especificamente o endpoint /goform/formEasySetupWizard. Está relacionada a uma vulnerabilidade de estouro de buffer devido à falta de validação do tamanho da entrada. Isso pode ser explorado enviando uma solicitação POST especialmente criada com o parâmetro curTime, permitindo potencialmente que um invasor remoto comprometa a confidencialidade, integridade e disponibilidade de informações protegidas.

Para o D-Link DIR-605L versão 2.13B01 BETA, como solução temporária, considere desativar as funções formEasySetupWizard() e formEasySetupWizard2() até que um patch esteja disponível. Restrinja o acesso ao endpoint /goform/formEasySetupWizard para minimizar o risco de exploração. Evite usar o parâmetro curTime no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.