D-Link - CVE-2024-37605
Date de publication :
Un défaut de gestion de pointeurs dans le composant /sbin/httpd du routeur D-Link DIR-860L permet à un attaquant non authentifié, en envoyant des requêtes HTTP spécifiquement forgées, de provoquer un déni de service.
Informations
La faille est activement exploitée : Non
Un correctif existe : Non
Une mesure de contournement existe : Non
Déni de service
Exploitation
La vulnérabilité exploitée est du type
CWE-476: NULL Pointer Dereference
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
Routeur D-Link DIR-860L version DIR-860L_REVB_FIRMWARE_2.04.B04_ic5b_HOTFIX
Solutions ou recommandations
Le produit ayant atteint sa fin de vie, aucun correctif n’est disponible pour cette vulnérabilité. Il est nécessaire de remplacer le produit vulnérable par un produit alternatif.
Il est recommandé de surveiller et de journaliser les requêtes de type HTTP vers la ressource /sbin/httpd.
Des informations complémentaires sont disponibles dans le bulletin de D-Link.