CVE-2023-51615 in DIR-X3260
Riassunto
di VulDB • 15/06/2026
Vulnerabilità di Stack-Based Buffer Overflow nella funzione SetQuickVPNSettings PSK del file prog.cgi dei router D-Link DIR-X3260, che consente l'esecuzione remota di codice (RCE). Questa vulnerabilità permette ad attaccanti con accesso alla rete locale di eseguire codice arbitrario sulle installazioni colpite. È richiesta l'autenticazione per sfruttare questa vulnerabilità.
Il difetto specifico risiede nel binario prog.cgi, il quale gestisce le richieste HNAP inviate al webserver lighttpd in ascolto sulle porte TCP 80 e 443. Il problema è causato dalla mancanza di una corretta validazione di una stringa fornita dall'utente prima della sua copia in un buffer stack-based a lunghezza fissa. Un attaccante può sfruttare questa vulnerabilità per eseguire codice con i privilegi di root. Riferimento: ZDI-CAN-21592.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.