آسیب‌پذیری اجرای کد از راه دور در اکسس پوینت D-Link DAP-2310

آسیب‌پذیری اجرای کد از راه دور در اکسس پوینت D-Link DAP-2310

تاریخ ایجاد

محققان یک آسیب‌پذیری به نام BouncyPufferfish در اکسس پوینت D-Link DAP-2310 کشف کرده‌اند که از نوع سرریز بافر مبتنی بر پشته می‌باشد. شناسه CVE-2024-45623 به این آسیب‌پذیری اختصاص یافته است. این آسیب‌پذیری در مولفه ATP وجود دارد که وظیفه آن رسیدگی به درخواست‌های HTTP به PHP برای وب‌سرور آپاچی (httpd) است. با ارسال یک درخواست HTTP GET توسط ابزاری مانند curl می‌توان از این آسیب‌پذیری سرریز بافر بهره‌برداری کرد که در نهایت منجر به صدا زدن تابع ()system و اجرای کد دلخواه خواهد شد. بهره‌برداری از این آسیب‌پذیری نیاز به تصدیق هویت ندارد.

محصولات تحت تاثیر
تمام دستگاه‌های D-Link DAP-2310 تحت تاثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
به روزرسانی جدیدی برای دستگاه D-Link DAP-2310 منتشر نخواهد شد و این دستگاه منسوخ شده محسوب می‌شود. لذا توصیه می‌شود نسبت به تعویض اکسس پوینت خود با دستگاه جدید اقدام نمایید.

منبع خبر:


https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10406