Dir-2640
Уязвимости
20
Эксплуатируемые
0
Макс. CVSS
9.4
Макс. EPSS
0.27449
Распределение по критичности
Критический
1
Высокий
6
Средний
13
Низкий
0
Также сопоставлено как (исходные строки): dir-2640,dir-2640_firmware
Топ уязвимостей
BDU:2021-03115Уязвимость процедуры настройки PPPoE микропрограммного обеспечения маршрутизатора D-Link DIR-2640-US связана с наличием предустановленных регистрационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, измененить информацию о маршрутизации, осуществлять перехват DNS-запросов и проводить фишинговые атаки
CVE-2024-5293Уязвимость D-Link DIR-2640, связанная с переполнением буфера на основе стека в HTTP Referer, приводящая к удаленному выполнению кода. Эта уязвимость позволяет злоумышленникам, находящимся в той же сети, выполнять произвольный код на затронутых установках маршрутизаторов D-Link DIR-2640-US. Для эксплуатации этой уязвимости аутентификация не требуется.
Конкретный недостаток заключается в prog.cgi, который обрабатывает запросы HNAP, отправляемые веб-серверу lighttpd, прослушивающему TCP-порты 80 и 443. Проблема возникает из-за отсутствия надлежащей проверки длины предоставленных пользователем данных перед копированием их в буфер фиксированной длины на основе стека. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Идентификатор ZDI-CAN-21853.
CVE-2023-32149Уязвимость переполнения буфера на основе стека при обработке запросов prog.cgi в D-Link DIR-2640, приводящая к удаленному выполнению кода. Эта уязвимость позволяет злоумышленникам, находящимся в той же сети, выполнять произвольный код на затронутых установках маршрутизаторов D-Link DIR-2640. Для эксплуатации этой уязвимости не требуется аутентификация.
Конкретный недостаток существует в веб-интерфейсе управления, который по умолчанию прослушивает TCP-порт 80. Проблема возникает из-за отсутствия надлежащей проверки длины предоставленных пользователем данных перед их копированием в буфер фиксированной длины на основе стека. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Идентификатор ZDI-CAN-19546.
BDU:2024-04458Уязвимость файла prog.cgi микропрограммного обеспечения роутеров D-Link DIR-2640 связана с переполнением буфера в стеке. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код в контексте root путем отправки специально сформированных HNAP-запросов на TCP-порты 80 и 443
BDU:2023-02612Уязвимость сценария prog.cgi веб-интерфейса управления микропрограммного обеспечения маршрутизаторов D-Link DIR-2640-US связана с выходом операции за границы буфера в памяти при проверки длины введенных пользователем данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2024-06211Уязвимость микропрограммного обеспечения маршрутизаторов D-Link DIR-1960-US, DIR-2640-US, DIR-2660-US, DIR-3040-US, DIR-3060-US, DIR-867-US, DIR-878, DIR-882-US, DIR-882/RE, DIR-882-CA и DIR-882-US/RE существует из-за непринятия мер по нейтрализации специальных элементов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
CVE-2022-1262Уязвимость внедрения команд в двоичном файле protest позволяет злоумышленнику с доступом к интерфейсу командной строки удаленного сервера выполнять произвольные команды от имени root.
CVE-2023-32153Уязвимость внедрения команд EmailFrom в D-Link DIR-2640, приводящая к удаленному выполнению кода. Эта уязвимость позволяет злоумышленникам, находящимся в той же сети, выполнять произвольный код на затронутых установках маршрутизаторов D-Link DIR-2640. Хотя для эксплуатации этой уязвимости требуется аутентификация, существующий механизм аутентификации можно обойти.
Конкретный недостаток существует при обработке параметра EmailFrom, предоставленного конечной точке HNAP1. Проблема возникает из-за отсутствия надлежащей проверки строки, предоставленной пользователем, перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Идентификатор ZDI-CAN-19550.
CVE-2023-32151Уязвимость внедрения команд DestNetwork в D-Link DIR-2640, приводящая к удаленному выполнению кода. Эта уязвимость позволяет злоумышленникам, находящимся в той же сети, выполнять произвольный код на затронутых установках маршрутизаторов D-Link DIR-2640. Хотя для эксплуатации этой уязвимости требуется аутентификация, существующий механизм аутентификации можно обойти.
Конкретный недостаток существует при обработке параметра DestNetwork, предоставленного конечной точке HNAP1. Проблема возникает из-за отсутствия надлежащей проверки строки, предоставленной пользователем, перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Идентификатор ZDI-CAN-19548.
CVE-2023-32150Уязвимость внедрения команд PrefixLen в D-Link DIR-2640, приводящая к удаленному выполнению кода. Эта уязвимость позволяет злоумышленникам, находящимся в той же сети, выполнять произвольный код на затронутых установках маршрутизаторов D-Link DIR-2640. Хотя для эксплуатации этой уязвимости требуется аутентификация, существующий механизм аутентификации можно обойти.
Конкретный недостаток существует при обработке параметра PrefixLen, предоставленного конечной точке HNAP1. Проблема возникает из-за отсутствия надлежащей проверки строки, предоставленной пользователем, перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Идентификатор ZDI-CAN-19547.
CVE-2023-32147Уязвимость внедрения команд LocalIPAddress в D-Link DIR-2640, приводящая к удаленному выполнению кода. Эта уязвимость позволяет злоумышленникам, находящимся в той же сети, выполнять произвольный код на затронутых установках маршрутизаторов D-Link DIR-2640. Хотя для эксплуатации этой уязвимости требуется аутентификация, существующий механизм аутентификации можно обойти.
Конкретный недостаток существует при обработке параметра LocalIPAddress, предоставленного конечной точке HNAP1. Проблема возникает из-за отсутствия надлежащей проверки строки, предоставленной пользователем, перед ее использованием для выполнения системного вызова. Злоумышленник может использовать эту уязвимость для выполнения кода в контексте root. Идентификатор ZDI-CAN-19544.
BDU:2023-02611Уязвимость реализации протокола HNAP1 (Home Network Administration Protocol) микропрограммного обеспечения маршрутизаторов D-Link DIR-2640-US связана с отсутствием мер по очистке входных данных при обработке параметра PrefixLen. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2023-02610Уязвимость реализации протокола HNAP1 (Home Network Administration Protocol) микропрограммного обеспечения маршрутизаторов D-Link DIR-2640-US связана с отсутствием мер по очистке входных данных при обработке параметра LocalIPAddress. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2023-02608Уязвимость реализации протокола HNAP1 (Home Network Administration Protocol) микропрограммного обеспечения маршрутизаторов D-Link DIR-2640-US связана с недостаточной проверкой введенной пользователем строки перед ее использованием для выполнения системного вызова при обработке параметра DestNetwork. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и выполнить произвольный код
BDU:2023-02607Уязвимость реализации протокола HNAP1 (Home Network Administration Protocol) микропрограммного обеспечения маршрутизаторов D-Link DIR-2640-US связана с отсутствием мер по очистке входных данных при обработке параметра EmailFrom. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
BDU:2021-06048Уязвимость микропрограммного обеспечения маршрутизатора D-Link DIR-2640-US связана с недостаточной защитой регистрационных данных. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии до уровня root
CVE-2023-32152Уязвимость обхода аутентификации LoginPassword HNAP в D-Link DIR-2640. Эта уязвимость позволяет злоумышленникам, находящимся в той же сети, обходить аутентификацию на затронутых установках маршрутизаторов D-Link DIR-2640. Для эксплуатации этой уязвимости не требуется аутентификация.
Конкретный недостаток существует в веб-интерфейсе управления, который по умолчанию прослушивает TCP-порт 80. Специально созданный запрос на вход может привести к успешной аутентификации без предоставления надлежащих учетных данных. Злоумышленник может использовать эту уязвимость для обхода аутентификации в системе. Идентификатор ZDI-CAN-19549.
CVE-2023-32148Уязвимость обхода аутентификации HNAP PrivateLogin в D-Link DIR-2640. Эта уязвимость позволяет злоумышленникам, находящимся в той же сети, обходить аутентификацию на затронутых установках маршрутизаторов D-Link DIR-2640. Для эксплуатации этой уязвимости не требуется аутентификация.
Конкретный недостаток существует в веб-интерфейсе управления, который по умолчанию прослушивает TCP-порт 80. Специально созданный XML-элемент в запросе на вход может привести к успешной аутентификации без предоставления надлежащих учетных данных. Злоумышленник может использовать эту уязвимость для обхода аутентификации в системе. Идентификатор ZDI-CAN-19545.
BDU:2023-02609Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов D-Link DIR-2640-US связана с недостатками процедуры аутентификации при обработке запросов, содержащих XML-элементы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности
BDU:2023-02606Уязвимость веб-интерфейса управления микропрограммного обеспечения маршрутизаторов D-Link DIR-2640-US связана с недостатками процедуры аутентификации при обработке параметра LoginPassword. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности путем отправки специально созданного запроса