دستگاه D-Link DAP-1650 یک توسعهدهنده Wi-Fi است که اتصال دو بانده و استاندارد WiFi ac802.11 را ارائه میدهد. طراحی این دستگاه بسیار شبیه به یک اسپیکر هوشمند است. این توسعه دهنده، با استفاده از فناوری MU-MIMO عملکرد عالی و سرعت حداکثر 1200 مگابیت در ثانیه را فراهم میآورد. این دستگاه برای اتصالات سریع کابلی، حداکثر 4 دستگاه را از طریق پورتهای LAN پشتیبانی میکند و همچنین امکان اتصال بیسیم را نیز دارا است.
به تازگی دو آسیبپذیری در این دستگاه کشف شدند که هر کدام به شرح ذیل اند:
- آسیبپذیری به شناسه CVE-2024-23624: یک آسیبپذیری بحرانی با شدت CVSS 9.8 در ماژول gena.cgi است که به کاربر احراز هویت نشده اجازه میدهد دستورات دلخواه خود را با سطح دسترسی root، تزریق و اجرا کند.
- آسیبپذیری به شناسه CVE-2024-23625: این نقص نیز با شدت CVSS 9.8 شناسایی شده و یک آسیبپذیری تزریق دستور (command injection) است که هنگام مدیریت فرامین UPnP SUBSCRIBE رخ میدهد. این آسیبپذیری در قابلیت UPnP SUBSCRIBE به مهاجم اجازه میدهد تا مقادیر زیادی داده را به مقاصد دلخواه قابل دسترسی از طریق اینترنت ارسال کند، که میتواند منجر به انکار سرویس توزیع شده (DDoS)، استخراج دادهها و سایر رفتارهای غیرمنتظره شبکه شود. در مورد دستگاه D-Link، یک مهاجم احراز هویت نشده میتواند از این آسیبپذیری برای به دست آوردن سطح دسترسی root جهت اجرای دستورات در دستگاه بهرهبرداری کند.
منابع خبر:
[1] https://nvd.nist.gov/vuln/detail/CVE-2024-23624
[2] https://nvd.nist.gov/vuln/detail/CVE-2024-23625
- 40