D-Link nu remediază vulnerabilitățile RCE din routerele DIR-846W

Producătorul de hardware pentru rețele D-Link a avertizat recent că modelul său de router DIR-846, scos din fabricație, este afectat de mai multe vulnerabilități de executare a codului de la distanță (RCE).

În total, au fost descoperite patru vulnerabilități RCE în firmware-ul routerului, inclusiv două erori critice și două erori cu grad de severitate high, ce vor rămâne neremediate, a declarat compania.

Vulnerabilitățile critice, CVE-2024-44341 și CVE-2024-44342, (scor CvSS 9,8/10) sunt descrise ca fiind erori de injectare a comenzilor sistemului de operare ce ar putea permite atacatorilor de la distanță să execute cod arbitrar.

Potrivit D-Link, cea de-a treia vulnerabilitate, CVE-2024-41622, prezintă un grad de severitate high ce poate fi exploatată prin intermediul unui parametru vulnerabil. Compania i-a atribuit un scor CvSS de 8,8, în timp ce NIST recomandă ca aceasta să aibă un scor CvSS de 9,8, ceea ce o transformă într-o vulnerabilitate critică.

A patra vulnerabilitate, CVE-2024-44340 (scor CvSS de 8,8/10), este o eroare de tip RCE cu severitate high ce necesită autentificarea pentru exploatarea cu succes.

Compania D-Link recomandă cu tărie ca toate dispozitivele D-Link ce au ajuns la sfârșitul perioadei de funcționare să fie retrase și înlocuite.

De asemenea, producatorul subliniază ca a încetat dezvoltarea de firmware pentru produsele sale scoase din folosință și că NU poate remedia vulnerabilitățile și problemele legate de dispozitiv sau firmware.

Sursă: https://www.securityweek.com/d-link-warns-of-code-execution-flaws-in-discontinued-router-model/