Se ha reportado un nuevo aviso de seguridad sobre seis vulnerabilidades que afectan a los modelos DIR-825/EE y DIR-825/AC de D-Link, que permitirían a un atacante realizar ejecución remota de código (RCE) en el sistema afectado.
Las vulnerabilidades reportadas se componen de 6 (seis) sin severidad y sin puntuación asignadas aún. Algunas de las mismas se detallan a continuación:
- CVE-2022-43643 sin severidad y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de validación de datos de entrada del servicio xupnpd. Esto permitiría a un atacante remoto enviar datos especialmente diseñados a la aplicación y realizar ejecución de comandos arbitrarios en el sistema afectado.
- CVE-2022-43642 sin severidad y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de validación de datos de entrada del plugin YouTube para el servicio xupnpd. Esto permitiría a un atacante remoto enviar datos especialmente diseñados a la aplicación y realizar ejecución de comandos arbitrarios en el sistema afectado.
- CVE-2022-43646 sin severidad y sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de validación de datos de entradas del plugin Vimeo para el servicio xupnpd. Esto permitiría a un atacante remoto enviar datos especialmente diseñados a la aplicación y realizar ejecución de comandos arbitrarios en el sistema afectado.
Puede acceder al listado completo de vulnerabilidades aquí
Los productos afectados de D-Link son:
- DIR-825/EE.
- DIR-825/AC.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante el siguiente enlace de soporte:
Referencias:
- https://www.cybersecurity-help.cz/vdb/SB2023010202
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-43643
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-43642
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-43646
- https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10319