Se ha descubierto una vulnerabilidad de severidad alta en productos D-Link. Un actor malicioso podría ejecutar código arbitrario y elevar privilegios en los sistemas afectados.
Productos afectados
- D-Link DCS-935L: versiones 1.xx anteriores a la 1.10.01.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026–8260: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de desbordamiento de búfer basado en la pila en el servicio HNAP. Un actor malicioso remoto podría enviar solicitudes XML especialmente diseñadas a la función SetDeviceSettings del componente afectado para que, durante el proceso de decodificación y descifrado mediante la función AESDecrypt, se provoque la ejecución de código arbitrario y la toma de control del dispositivo. Cabe destacar que existe una prueba de concepto pública para esta vulnerabilidad.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias