CVE

Vulnerabilidad en el parámetro var:page proporcionado al endpoint webproc en los routers D-Link DAP-2020 (CVE-2021-34863)

Severidad:
ALTA
Type:
CWE-121 Desbordamiendo de búfer basado en pila (Stack)
Fecha de publicación:
25/10/2021
Última modificación:
26/04/2023

Descripción

Esta vulnerabilidad permite a atacantes adyacentes a la red ejecutar código arbitrario en las instalaciones afectadas de los routers D-Link DAP-2020 versión 1.01rc001. No es requerida una autenticación para explotar esta vulnerabilidad. El fallo específico se presenta en el manejo del parámetro var:page proporcionado al endpoint webproc. El problema resulta de una falta de comprobación apropiada de la longitud de los datos proporcionados por el usuario antes de copiarlos en un búfer de longitud fija basado en la pila. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de root. Fue ZDI-CAN-13271

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:dlink:dap-2020_firmware:*:*:*:*:*:*:*:* 1.01 (incluyendo)
cpe:2.3:h:dlink:dap-2020:*:*:*:*:*:*:*:*