محققان یک آسیبپذیری به نام BouncyPufferfish در اکسس پوینت D-Link DAP-2310 کشف کردهاند که از نوع سرریز بافر مبتنی بر پشته میباشد. شناسه CVE-2024-45623 به این آسیبپذیری اختصاص یافته است. این آسیبپذیری در مولفه ATP وجود دارد که وظیفه آن رسیدگی به درخواستهای HTTP به PHP برای وبسرور آپاچی (httpd) است. با ارسال یک درخواست HTTP GET توسط ابزاری مانند curl میتوان از این آسیبپذیری سرریز بافر بهرهبرداری کرد که در نهایت منجر به صدا زدن تابع ()system و اجرای کد دلخواه خواهد شد. بهرهبرداری از این آسیبپذیری نیاز به تصدیق هویت ندارد.
محصولات تحت تاثیر
تمام دستگاههای D-Link DAP-2310 تحت تاثیر این آسیبپذیری قرار دارند.
توصیههای امنیتی
به روزرسانی جدیدی برای دستگاه D-Link DAP-2310 منتشر نخواهد شد و این دستگاه منسوخ شده محسوب میشود. لذا توصیه میشود نسبت به تعویض اکسس پوینت خود با دستگاه جدید اقدام نمایید.
منبع خبر:
https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10406
- 47