Las vulnerabilidades reportadas son: CVE-2021-46319, CVE-2021-46315, CVE-2021-46314, que se detallan a continuación:
- La vulnerabilidad identificada comoCVE-2021-46319 de criticidad alta, sin puntuación asignada. Esta vulnerabilidad se debe a una falla en HNAP1/control/SetMasterWLanSettings.php, que permitiría a un atacante utilizar «\n» o backticks para omitir los metacaracteres de shell en los parámetros ssid0 o ssid1 y así obtener ejecución remota de código (RCE).
- La vulnerabilidad identificada como CVE-2021-46315 sin puntuación asignada. Esta vulnerabilidad se debe a una falla en HNAP1/control/SetWizardConfig.php, que permitiría a un atacante utilizar «\n» o backticks para omitir los metacaracteres de shell en los parámetros ssid0 o ssid1 y así obtener ejecución remota de código (RCE).
- La vulnerabilidad identificada como CVE-2021-46314 sin puntuación asignada. Esta vulnerabilidad se debe a una falla en HNAP1/control/SetNetworkTomographySettings.php, que permitiría a un atacante utilizar «\n» o backticks para omitir los metacaracteres de shell en los parámetros ssid0 o ssid1 y así obtener ejecución remota de código (RCE).
Las versiones afectadas de D-Link Router DIR-846 son:
• DIR846A1_FW100A43.bin.
• DIR846enFW100A53DLA-Retail.bin.
Recomendamos instalar la actualización correspondiente provista por D-link en los siguientes enlaces:
- DIR846A1_FW100A43:
https://github.com/doudoudedi/DIR-846_Command_Injection/blob/main/DIR
- DIR846enFW100A53DLA-Retail.bin:
https://la.dlink.com/la/ftp_download.php?arch=DIR-846/DIR846enFW100A53DLA
Referencias: