D-Link заявила о неисправленных уязвимостях в роутерах DIR-846W
habr.comD-Link предупреждает, что четыре уязвимости удалённого выполнения кода (RCE) во всех версиях оборудования и прошивки маршрутизатора DIR-846W не будут исправлены, поскольку эти продукты больше не поддерживаются.Четыре уязвимости RCE, три из которых оценены как критические и не требуют аутентификации, были обнаружены исследователем безопасности yali-1002, который опубликовал минимальные подробности в своем репозитории GitHub.Исследователь разместил информацию 27 августа, но пока воздержался от публикации эксплойтов для проверки концепции (PoC).D-Link предупредила о следующих уязвимостях:CVE-2024-41622: удалённое выполнение команд (RCE) через параметр tomography_ping_address в интерфейсе /HNAP1/ (оценка 9,8 «критическая»);CVE-2024-44340: RCE через параметры smartqos_express_devices и smartqos_normal_devices в SetSmartQoSSettings (требование аутентифицированного доступа снижает оценку до 8,8);CVE-2024-44341: RCE через параметр lan(0)_dhcps_staticlist, эксплуатируемая с помощью специально созданного запроса POST (оценка 9,8 «критическая»);CVE-2024-44342: RCE через параметр wl(0).(0)_ssid. (оценка 9,8 «критическая»).D-Link не будет выпускать никаких обновлений безопасности для их устранения. «В качестве общей политики, когда продукты достигают EOS/EOL, они больше не могут поддерживаться, и вся разработка прошивок для них прекращается», — пояснила компания.«D-Link настоятельно рекомендует снять этот продукт с производства и предупреждает, что любое его дальнейшее использование может представлять риск для подключённых к нему устройств», — добавляет производитель.Отмечается, что маршрутизаторы DIR-846W продавались в основном за пределами США, но модель по-прежнему популярна на некоторых рынках, включая Латинскую Америку.Поддержка