Vulnérabilité dans D-Link DAP-2020
Date de publication :
CVE-2021-34862[Score CVSS v3.1: 8.8]
Les experts en cyber-sécurité de l’équipe ZDI (Zero Day Initiative), en collaboration avec l’équipe de sécurité de D-Link, ont étudié une vulnérabilité concernant le routeur DAP-2020.
L’étude a révélé un manque de vérification appropriée concernant la taille des données fournies par l’utilisateur. Ce manque de vérification est situé juste avant que les données soient copiées dans la mémoire tampon. Ce problème concerne spécifiquement le paramètre var:menu présent dans le terminal webproc.
Un attaquant connecté au réseau et non-authentifié peut exploiter cette vulnérabilité de débordement de mémoire tampon pour effectuer une exécution de code arbitraire avec le contexte root.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
Criticité
- Score CVSS v3.1: 8.8
CVE
Composants vulnérables.
- Toutes les versions de DAP-2020 précédant 1.01 sont vulnérables.
Solutions ou recommandations
- Mettre à jour le routeur DAP-2020 à la version 1.03rc004
Un correctif est disponible et peut être téléchargé ici :