- شناسه CVE-2024-57684 :CVE
- CWE-276 :CWE
- www.dlink.com :Advisory
- منتشر شده: ژانویه 16, 2025
- به روز شده: ژانویه 16, 2025
- امتیاز: 9.8
- نوع حمله: Access Control
- برند: D-Link
- محصول: DIR-816 A2
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch نشده
چکیده
CVE-2024-57684 ، یک آسیب پذیری در D-Link DIR-816 A2 است. این آسیب پذیری بر روی عملکرد فایل formDMZ.cgi کامپوننت DMZ Service اثر می گذارد. دستکاری این فایل منجر به حمله کنترل دسترسی نامناسب می شود. حمله می تواند از راه دور راه اندازی شود.
توضیحات
آسیب پذیری کنترل دسترسی نامناسب در اینترفیس مدیریت وب D-Link DIR-816 A2 وجود دارد که با ارسال یک درخواست HTTP POST دستکاری شده و احراز هویت نشده به goform موجود در endpoint با سرآیند formDMZ.cgi ، زمینه ای را فراهم می کند که مهاجم بتواند بخش DMZ Service دستگاه را دستکاری کند.
سیستم امتیاز دهی آسیب پذیری ها بر اساس استاندارد های تحقیقاتی حوزه نمره دهی به آسیب پذیری ها، امتیازات زیر را برای شدت اثرگذاری این آسیب پذیری در نظر گرفته است.
CVSS
| Score | Severity | Version | Vector String |
| 9.8 | CRITICAL | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
در زمان انتشار این اعلامیه، این آسیب پذیری برروی نسخه های زیر تاثیر می گذارد:
- D-Link DIR-816 A2_FWv1.10CNB05_R1B011D88210
لیست محصولات بروز شده
برند D-Link هنوز پچ یا بروزرسانی جهت رفع این آسیب پذیری ارائه نداده است. به منظور جلوگیری از قرار گرفتن در معرض این آسیب پذیری توصیه می شود از نسخه های جدید تر فریمور استفاده کنید.
نتیجه گیری
آسیب پذیری فوق در دسته آسیب پذیری های بحرانی دسته بندی می شود. توصیه می شود به منظور بروزرسانی فریمور فعلی به بخش بروزرسانی های نرم افزاری D-Link مراجعه کنید.
منابع
- https://www.cve.org/CVERecord?id=CVE-2024-57684
- https://www.cvedetails.com/cve/CVE-2024-57684/
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2024-57684&sortby=bydate
- https://vuldb.com/?id.292168
- https://github.com/abcdefg-png/IoT-vulnerable/blob/main/Unauthorized_Vulnerability/D-Link/DIR-816/formDMZ.md
- https://cwe.mitre.org/data/definitions/276.html
