Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de D-Link

Fecha de publicación 04/09/2024
Identificador
INCIBE-2024-0430
Importancia
5 - Crítica
Recursos Afectados
  • DIR-846W;
  • DNS-120;
  • DNR-202L;
  • DNS-315L;
  • DNS-320;
  • DNS-320L;
  • DNS-320LW;
  • DNS-321;
  • DNR-322L;
  • DNS-323;
  • DNS-325;
  • DNS-326;
  • DNS-327L;
  • DNR-326;
  • DNS-340L;
  • DNS-343;
  • DNS-345;
  • DNS-726-4;
  • DNS-1100-4;
  • DNS-1200-05;
  • DNS-1550-04.
     
Descripción

Varios productos de D-Link han llegado a su fin de vida y fin de servicio. En unos nuevos boletines de seguridad, D-Link ha publicado 8 vulnerabilidades, 4 de ellas críticas y las demás altas.

En la detección de algunas de estas vulnerabilidades ha participado el equipo VulDB CNA.

Solución

Los productos han llegado al final de su vida y soporte, no hay actualizaciones ni correcciones disponibles y el fabricante recomienda sutituirlos por otros dispositivos más recientes.

Detalle

Las vulnerabilidades críticas son:

  • CVE-2024-44341: DIR-846W contiene una vulnerabilidad de ejecución remota de comandos (RCE) a través del parámetro lan(0)_dhcps_staticlist. Esta vulnerabilidad se aprovecha mediante una solicitud POST manipulada.
  • CVE-2024-44342: DIR-846W contiene una vulnerabilidad de ejecución remota de comandos (RCE) a través del wl(0).(0)_ssid
  • CVE-2024-3272: problemas con el gestor de peticiones GET permiten la manipulación del argumento user en el bus de mensajes de entrada, lo que permitiría conseguir credenciales guardadas en el código.
  • CVE-2024-3273: problemas con el gestor de peticiones GET permiten la manipulación del argumento sytem en el bus de mensajes de entrada, lo que permitiría la ejecución de código en remoto.

El resto de vulnerabilidades no críticas se pueden consultar en las referencias.