آسیبپذیری BouncyPufferfish در اکسس پوینت D-Link DAP-2310 که یک دستگاه منسوخ شدهاست به مهاجمان اجازه میدهد که بدون نیاز به تایید هویت به اجرای کد دلخواه بپردازند.
دریافت صفحه با کد QR
آسیبپذیری در یک دستگاه منسوخ
منتظر بهروزرسانی اکسس پوینت D-Link DAP-2310 نباشید
support.dlink , 20 شهريور 1403 ساعت 10:01
آسیبپذیری BouncyPufferfish در اکسس پوینت D-Link DAP-2310 که یک دستگاه منسوخ شدهاست به مهاجمان اجازه میدهد که بدون نیاز به تایید هویت به اجرای کد دلخواه بپردازند.
آسیبپذیری BouncyPufferfish در اکسس پوینت D-Link DAP-2310 که یک دستگاه منسوخ شدهاست به مهاجمان اجازه میدهد که بدون نیاز به تایید هویت به اجرای کد دلخواه بپردازند.
به گزارش افتانا، محققان یک آسیبپذیری به نام BouncyPufferfish با شناسه CVE-2024-45623 در اکسس پوینت D-Link DAP-2310 کشف کردهاند که از نوع سرریز بافر مبتنی بر پشته است.
این آسیبپذیری در مولفه ATP وجود دارد که وظیفه آن رسیدگی به درخواستهای HTTP به PHP برای وبسرور آپاچی (httpd) است. با ارسال یک درخواست HTTP GET توسط ابزاری مانند curl میتوان از این آسیبپذیری سرریز بافر بهرهبرداری کرد که درنهایت منجر به فراخواندن تابع ()system و اجرای کد دلخواه خواهد شد. بهرهبرداری از این آسیبپذیری نیاز به تصدیق هویت ندارد.
تمام دستگاههای D-Link DAP-2310 تحت تاثیر این آسیبپذیری قرار دارند. این دستگاه منسوخ شده محسوب میشود و بهروزرسانی جدیدی برای آن منتشر نخواهد شد. بنابراین کاربران باید اکسس پوینت خود را با دستگاه جدید جایگزین کنند تا از این آسیبپذیری در امان بمانند.
کد مطلب: 22437