CVE-2024-9514

Nome do software vulnerável e versões afetadas:

D-Link DIR-605L versão 2.13B01 BETA

Descrição:

Uma falha crítica afeta a função formSetDomainFilter no arquivo /goform/formSetDomainFilter. A manipulação do argumento curTime leva a um estouro de buffer. Essa falha pode ser explorada remotamente. A exploração foi divulgada publicamente e pode ser utilizada. A vulnerabilidade está relacionada à falta de verificação do tamanho dos dados de entrada, o que permite que um invasor comprometa a confidencialidade, integridade e disponibilidade das informações protegidas enviando uma solicitação POST especialmente criada.

Recomendações:

Como solução temporária, considere desativar a função formSetDomainFilter até que um patch esteja disponível. Restrinja o acesso ao endpoint /goform/formSetDomainFilter para minimizar o risco de exploração. Evite usar o argumento curTime no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.