CVE-2024-28730

Nome do software vulnerável e versões afetadas:

Versões do D-Link DWR 2000M anteriores à versão corrigida

D-Link DWR 2000M 5G CPE com Wi-Fi 6 Ax1800, versão DWR-2000M 1.34ME

Descrição:

A vulnerabilidade existe devido à falta de proteção da estrutura da página web na função de upload de arquivos do módulo de configuração de VPN. Isso permite que um invasor realize ataques de cross-site scripting ao enviar um arquivo de configuração OpenVPN (.ovpn) especialmente criado. Um invasor local pode obter informações confidenciais por meio do recurso de upload de arquivos do módulo de configuração de VPN.

Recomendações:

Para versões do D-Link DWR 2000M anteriores à versão corrigida, considere desativar o recurso de upload de arquivos do módulo de configuração de VPN até que um patch esteja disponível.

Para o D-Link DWR 2000M 5G CPE com Wi-Fi 6 Ax1800, versão DWR-2000M 1.34ME, restrinja o acesso ao módulo de configuração de VPN para minimizar o risco de exploração.