CVE-2024-9535

Nome do software vulnerável e versões afetadas:

D-Link DIR-605L versão 2.13B01 BETA

Descrição:

Foi identificada uma falha crítica na função formEasySetupWWConfig do arquivo /goform/formEasySetupWWConfig. A manipulação do argumento curTime pode levar a um estouro de buffer. Essa falha pode ser explorada remotamente. A exploração foi divulgada publicamente e pode estar em uso. A vulnerabilidade está relacionada à cópia de um buffer sem verificação do tamanho dos dados de entrada, o que pode permitir que um invasor execute código arbitrário usando o parâmetro curTime.

Recomendações:

Como solução temporária, considere desativar a função formEasySetupWWConfig até que um patch esteja disponível. Restrinja o acesso ao endpoint /goform/formEasySetupWWConfig para minimizar o risco de exploração. Evite usar o argumento curTime na função afetada até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.