یک آسیبپذیری اجرای کد از راه دور بحرانی که چند مسیریاب D-Link را تحت تأثیر قرار میدهد، وصلهنشده باقی مانده است. این آسیبپذیری که با شناسهی CVE-2019-16920 ردیابی میشود و در نمرهدهی CVSS، امتیاز ۹٫۸ را دارد، در مسیریابهای D-Link DIR-866l، DIR-652 و DHP-1565 کشف شده است که هیچ یک از آنها دیگر پشتیبانی نمیشوند، این به این معنا است که هیچ وصلهای برای آنها منتشر شده است.
این آسیبپذیری ممکن است بدون احراز هویت از طریق ارسال ورودی خاص به یک رابط gateway مشترک PingTest برای انجام یک تزریق فرمان اتفاق بیفتد. مهاجمی که قادر به ایجاد این آسیبپذیری است میتواند بهطور کامل سیستم را در معرض خطر قرار دهد. این آسیبپذیری امنیتی دو هفته پیش توسط آزمایشگاه FortiGuard شرکت Fortinet کشف و به D-Link گزارش شده است. D-Link قبلاً وجود این آسیبپذیری و اینکه هیچ وصلهای منتشر نخواهد شد، تأیید کرده است.
این شرکت بیان میکند که این محصولات به پایان عمر کاری خود رسیدهاند. هیچ پشتیبانی یا توسعهای برای این دستگاهها وجود ندارد. همچنین توصیه میکند که این دستگاه با یک دستگاه جدید که بهطور فعال پشتیبانی میشود، جایگزین شود. استفاده از این دستگاهها کاربران را در معرض خطر قرار میدهد و D-Link استفاده از آنها را توصیه نمیکند.
این شرکت تشریح میکند که یک مهاجم میتواند این آسیبپذیری را برای دسترسی به پیکربندی وب یک دستگاه بدون داشتن گواهینامه، هدف قرار دهد. بهگفتهی Fortinet، این آسیبپذیری با یک بررسی احراز هویت نامناسب آغاز میشود و کد توسط سیستم دستگاه اجرا میشود، حتی درصورتیکه کاربر احراز هویت نشده باشد.
شرکت Fortinet تشریح میکند که دلیل اصلی این آسیبپذیری عدم وجود بررسی مناسب دستورات دلخواه اجراشده توسط اجرای دستور سیستم بومی است که این یک مشکل امنیتی معمولی است که بسیاری از تولیدکنندگان میانافزار از آن رنج میبرند. به کاربران توصیه میشود تا در اسرع وقت دستگاه خود را به یک دستگاه پشتیبانیشده ارتقاء دهند تا اطمینان حاصل کنند که از دستگاه آنها محافظت میشود.
